÷ƒ’À;è TeX output 2003.04.04:1518‹ÿÿÿÿ Û_2 ý ~? ÕÁ ýZݺóþÖëI½q½qecss2074»De–fÑLinux“Cip‘ˆ’e+Masquerading“mini-HO‘ÿwmWTOŽ¤ ®„ØcÕÁGŽŽ¡ó 1ê± ecrm1000¹An•¸èthon“y›U Ciara“v‘ÿqÐalo,˜ó½HЃ ecti1000¼acj@home.c‘ÿ}/omŽ¡¹V‘ÿ*¸ertaler:‘ мR–ÿ}/e“ggy‘“°Ekkebus¹,›U ¼r“e“ggy@ze“elandnet.nl’¸—¹v1.2,˜21˜april˜1999Ž¡Ÿ&°óŒ6 ecss1000½Het–U instellen“van“een“VPN“doGoš¸èr“het“geb˜ruik“van“CipGe“op“een“linux“masquerading“rew˜all.ŽŸ(Àœó&Lt$ffffecbx1440¿Inhoudsopga•cv“eŽ©Øó]fŒ ecbx1000À1Ž‘ÿIn®>troQÂductie’ˆ}82ŽŽ¤ؼ‘ÿ¹1.1Ž‘%ý¡Cop•¸èyrigh“t‘탑ü.ŽŽ–Æè‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ‘wï2ŽŽ¡‘ÿ1.2Ž‘%ý¡Disclaimer‘‚ÿ‘ü.ŽŽ–Æè‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ‘wï2ŽŽ¡‘ÿ1.3Ž‘%ý¡F‘ÿ*¸eedbac¸èk‘mK‘ü.ŽŽ–Æè‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ‘wï3ŽŽ¡‘ÿ1.4Ž‘%ý¡De–U les“ophalen‘Šó‘ü.ŽŽ–Æè‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ‘wï3ŽŽ¦À2Ž‘ÿFirew®>all‘ÕConguratie’VW3ŽŽ¡‘ÿ¹2.1Ž‘%ý¡VPN›U Net•¸èw“ork˜Diagram‘ö¯‘ü.ŽŽ–Æè‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ‘wï3ŽŽ¡‘ÿ2.2Ž‘%ý¡Een–U kleine“referen¸ètie‘àë‘ü.ŽŽ–Æè‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ‘wï3ŽŽ¡‘ÿ2.3Ž‘%ý¡T‘ÿ*¸o•Gegevš¸èo“egde–U notities“o˜v˜er“scripts“en“de“VPN.‘s‘ü.ŽŽ–Æè‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ‘wï3ŽŽ¦À3Ž‘ÿMacš®>hine–ÕA“SpQÂeciek˜e“Conguratie’¹ê4ŽŽ¡‘ÿ¹3.1Ž‘%ý¡/etc/cipGe/options.mac¸èhineB‘©K‘ü.ŽŽ–Æè‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ‘wï4ŽŽ¡‘ÿ3.2Ž‘%ý¡/etc/cipGe/options.mac¸èhineC‘…¿‘ü.ŽŽ–Æè‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ‘wï4ŽŽ¡‘ÿ3.3Ž‘%ý¡/etc/rc.d/rc.cipGe‘’‘ü.ŽŽ–Æè‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ‘wï4ŽŽ¡‘ÿ3.4Ž‘%ý¡Gatew•¸èa“y‘©Ñ‘ü.ŽŽ–Æè‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ‘wï6ŽŽ¦À4Ž‘ÿMacš®>hine–ÕB“spQÂeciek˜e“Conguratie’¢6ŽŽ¡‘ÿ¹4.1Ž‘%ý¡/etc/cipGe/options.mac¸èhineA‘>§‘ü.ŽŽ–Æè‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ‘wï6ŽŽ¡‘ÿ4.2Ž‘%ý¡/etc/rc.d/rc.cipGe‘’‘ü.ŽŽ–Æè‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ‘wï6ŽŽ¡‘ÿ4.3Ž‘%ý¡Gatew•¸èa“y‘©Ñ‘ü.ŽŽ–Æè‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ‘wï7ŽŽ¦À5Ž‘ÿMacš®>hine–ÕC“SpQÂeciek˜e“Conguratie’r7ŽŽ¡‘ÿ¹5.1Ž‘%ý¡/etc/cipGe/options.mac¸èhineA‘>§‘ü.ŽŽ–Æè‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ‘wï7ŽŽ¡‘ÿ5.2Ž‘%ý¡/etc/rc.d/rc.cipGe‘’‘ü.ŽŽ–Æè‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ‘wï8ŽŽ¡‘ÿ5.3Ž‘%ý¡Gatew•¸èa“y‘©Ñ‘ü.ŽŽ–Æè‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ‘wï9ŽŽ¦À6Ž‘ÿAlgemene–ÕMac®>hine“Conguratie’.x9ŽŽ¡‘ÿ¹6.1Ž‘%ý¡/etc/cipGe/ip-up‘Ù‘ü.ŽŽ–Æè‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ‘wï9ŽŽ¡‘%ý¡6.1.1Ž‘EûŸKernel–U 2.0,“ipfw¸èadm,“cipGe“1.0.x‘ãÍ‘ü.ŽŽ–Æè‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ‘wï9ŽŽ¡‘%ý¡6.1.2Ž‘EûŸKernel–U 2.1/2.2,“ipšGc¸èhains,“cip˜e“1.2.x‘Gõ‘ü.ŽŽ–Æè‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ‘x?12ŽŽŽŽŒ‹* Û_2 ý ~?Ÿ„€ÕÁGŽÀ1.‘ñ8In®>troQÂductie’†Y̹2ŽŽ ÕÁ ýV¯‘ÿ6.2Ž‘%ý¡/etc/cipGe/ip-do¸èwn‘uß‘ü.ŽŽ–Æè‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ‘x?15ŽŽ¤ؼ‘%ý¡6.2.1Ž‘EûŸKernel–U 2.0,“ipfw¸èadm,“cipGe“1.0.x‘ãÍ‘ü.ŽŽ–Æè‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ‘x?15ŽŽ¡‘%ý¡6.2.2Ž‘IP¿Kernel–U 2.1/2.2,“ipšGc¸èhains,“cip˜e“1.2.x‘¹½‘ü.ŽŽ–Æè‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ‘x?18ŽŽ©ØÀ7Ž‘ÿV‘ÿ ºo•QÂorb“eeld–Õmasquerading“rew®>all“scripts’ñÜ®20ŽŽ¡‘ÿ¹7.1Ž‘%ý¡Kernel–U 2.0,“ipfw¸èadm‘àÛ‘ü.ŽŽ–Æè‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ‘x?20ŽŽ¡‘ÿ7.2Ž‘%ý¡Kernel–U 2.1/2.2,“ipGc¸èhains‘E‘ü.ŽŽ–Æè‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ‘x?22ŽŽ¦À8Ž‘Ô(Alles–Õsamen“v®>oQÂegen’UÖ27ŽŽ¦9Ž‘ÿV‘ÿ ºerbinding–Õmak®>en“met“de“W‘þ¸øAN’§Ä28ŽŽ¦10Ž‘ÿReferen®>ties’ƒ m28ŽŽ¡‘ÿ¹10.1Ž‘%ý¡W‘ÿ*¸eb‘U Sites‘-‘ü.ŽŽ–Æè‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ‘x?28ŽŽ¡‘ÿ10.2Ž‘%ý¡DoGcumen¸ètatie‘'‘ü.ŽŽ–Æè‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ“‘ü.ŽŽ‘x?29ŽŽŸ(Àœ¿1Ž‘ÁInctropœductieŽŸ¿:¹Dit–C3is“de“Linš¸èux“CipGe+Masquerading“mini-HO˜WTO.“Het“laat“zien“hoGe“je“een“Virtueel“Priv˜e“net˜w˜erk“k‘ÿqÐanŽ¤ ®mak¸èen–k{tussen“je“LAN‘kuen“andere“Lan's“došGor“het“gebruik“v‘ÿqÐan“Cip˜e“op“linš¸èux“masquerading“rew˜all“mac˜hines.Ž¡Het–U laat“ošGok“een“v¸èo˜orb˜eeld“masquerading“rew¸èall“conguratie“zien.ŽŸ#Ãó¥!¢N ecbx1200Â1.1Ž‘¾Cop• yrigh“tŽŸMª¹Cop•¸èyrigh“t–U 1998,“1999“An•¸èthon“y›U Ciara“v‘ÿqÐalo,˜¼acj@home.c‘ÿ}/omŽ©ؼ¹T‘ÿ*¸enzij–mSanders“vš¸èerklaard,‘s_bGerust“het“cop˜yrigh˜t“v‘ÿqÐan“Lin˜ux“Ho˜wto“doGcumen˜ten“bij“de“eigenlijk˜e“auteur.‘ºLin˜uxŽ¡Ho•¸èwto›all‘ÕConguratie’Tlë¹3ŽŽ ÕÁ ýV¯gebruik–(¤v‘ÿqÐan“cipGe“tussen“t•¸èw“ee›(¤mac“hines,‘1Šmaar˜het˜is˜niet˜gegarandeerd˜100%˜v“eilig.‘b¬De˜auteur˜garandeert˜deŽ¤ ®informatie–Ëin“dit“došGcumen¸èt“niet.‘ZHo˜ewš¸èel“ik“heel“nau˜wk˜eurig“bGen“gew˜eest“bij“het“sc˜hrijv˜en“v‘ÿqÐan“dit“doGcumen˜t,Ž¡bšGen–r¨ik“niet“v•¸èeran“t“w“o˜ordelijk‘r¨v“o˜or–r¨de“problemen“of“sc¸èhade“opgelop˜en“do˜or“acties“gebaseerd“op“informatie“inŽ¡dit‘U doGcumen¸èt.Ž¤#ÃÂ1.3Ž‘¾F‘þàeedbac kŽ©Mª¹Zend–U vragen,“commen¸ètaar,“suggesties“of“correcties“naar“¼acj@home.c‘ÿ}/om¹.Ž¡Â1.4Ž‘¾De–¸les“ophalenŽ¦¹Deze–èÕhoš¸èwto“is“gebaseerd“op“CipGe“v˜ersie“1.0.1“en“1.2.0.‘, Zie“de“referen˜tie“sectie“v˜ošGor“een“link“naar“de“Cip˜eŽ¤ ®home‘U page.ŽŸ(Àœ¿2Ž‘ÁFirewcall‘G\ConguratieŽŸ¿:¹Deze–v¶hoš¸èwto“v˜eronderstelt“dat“je“al“k˜ernel“ondersteuning“v˜oGor“IP‘v®masquerading“hebt.‘ÖCZie“de“referen˜tie“v˜oGorŽ¡informatie›U o•¸èv“er˜hoGe˜je˜je˜k“ernel˜moGet˜congureren˜v“oGor˜een˜lin“ux˜rew“all.ŽŸ#ÃÂ2.1Ž‘¾VPN›¸Net• w“ork˜DiagramŽ¦¹Deze–"Esetup“gebruikt“een“star/hš¸èub“conguratie.‘`ŒHet“stelt“een“cipGe“connectie“in“v‘ÿqÐan“Mac˜hine“A‘"8naar“Mac˜hineŽ¡B–U en“een“andere“v‘ÿqÐan“Macš¸èhine“A“naar“Mac˜hine“C.ŽŸ ‘‰ffÕÁG©¤ Š=‘rÀÌóqLË ectt0900ÄMachine‘¹NAŽ¡‘d”âeth0:‘¹N192.168.1.1Ž¡‘d”âeth1:–¹Necht“ip“1Ž¡‘_Û”/‘FÛ’\Ž¡‘["F/‘PN.\Ž¡‘0žˆMachine–¹NB‘U|Machine“CŽ¡‘'+ìeth0:‘¹N192.168.2.1‘3öZeth0:192.168.3.1Ž¡‘'+ìeth1:–¹Necht“ip“2‘=höeth1:“echt“ip“3ŽŸfF‰ffÕÁGŸpÂ2.2Ž‘¾Een–¸kleine“referen tieŽŸÛT‰ffÕÁG¦¡‘Äeth0–¹Nis“het“lokale“netwerk“(nep“address)Ž¡‘eth1–¹Nis“het“internet“adres“(echt“address)Ž¡¡‘Port–¹NA“is“elke“geldige“poort“die“je“kiestŽ¡‘Port–¹NB“is“elke“andere“geldige“poort“die“je“kiestŽ¡¡‘Key–¹NA“is“elke“goede“sleutel“die“je“kiest“(lees“cipe“doc“voor“informatie)Ž¡‘Key–¹NB“is“elke“goede“sleutel“die“je“kiestŽŸfF‰ffÕÁGŸpÂ2.3Ž‘¾T‘þào•_úegevš o“egde–¸notities“o˜v˜er“scripts“en“de“VPN.ŽŸMª¹De–qip-up“scripts“staan“op“het“momenš¸èt“alleen“klasse“c“v˜erk˜eer“tošGe“do˜or“het“cip˜e“in¸èterface.‘£tAls“je“wilt“datŽ¤ ®mac•¸èhine›OuB‘O4v“erbinding˜k‘ÿqÐan˜mak“en˜met˜Mac“hine˜C‘O4dan˜mo•Get˜je˜de˜bijb“ehorende˜ip-up˜en˜ip-do¸èwn˜scriptsŽ¡aanpassen.›“ðJe–µðmoGet“de“prpaddr“en“m•¸èy“addr–µðnetmasks“v¸èeranderen.˜Er“zijn“t•¸èw“ee–µðip-up“scripts,‘$€é€én“v¸èoGorŽŽŽŒ‹>ô Û_2 ý ~?Ÿ„€ÕÁGŽÀ3.‘ñ8Macš®>hine–ÕA“SpQÂeciek˜e“Conguratie’–~¹4ŽŽ ÕÁ ýV¯ipGcš¸èhains–YJen“€é€én“v˜oGor“ipfw˜adm.‘Hetzelfde“geldt“v˜oGor“de“ip-do˜wn“scripts.‘V‘ÿ*¸erander“de“desbGetreende“ink˜omend,Ž¤ ®uitgaand–j2en“došGorstuur“cip˜e“inš¸èterface“rew˜all“rules“netmask“v‘ÿqÐan“/24“naar“/16.‘°¶Elk˜e“cipGe“rew˜all“regel“die“jeŽ¡vš¸èerandert–ôoin“ip-up“v˜oGor“ipfw˜adm,‘ÆmoGet“je“zek˜er“w˜eten“dat“je“het“ip-do˜wn“script“zo“maakt“dat“het“alles“netjesŽ¡v‘ÿqÐan–W6de“lijst“af“haalt“zoGdra“het“inš¸èterface“do˜wn“gaat.‘wÂV‘ÿ*¸ošGor“de“ip˜cš¸èhains“le,‘W¼alles“w˜at“je“to•Gegev˜o“egd‘W6hebt,‘W¼ho“efŽ¡je–U niet“terug“te“vinden“in“de“ip-doš¸èwn“le,“omdat“het“gew˜oGon“de“hele“gebruik“gedeneerde“c˜hain“v˜erwijdert.ŽŸؼJe–§mošGet“o˜ok“de“net•¸èw“erk–§route“in“de“rc.cip˜e“v¸èo˜or“Mac¸èhine“B›¦ïen“C˜uncommenš¸èten“dat“v˜oGegt“elk‘ÿqÐaars“net˜w˜erkŽ¡tošGe–U aan“de“route“tab˜el.ŽŸ(Àœ¿3Ž‘ÁMacšchine–G\A“Sppœeciek˜e“ConguratieŽŸèÂ3.1Ž‘¾/etc/cip_úe/options.mac hineBŽ© Û$‰ffÕÁGŸ¤ Š=‘Ä#uncomment–¹Ner“1“hieronderŽ¡‘#naam–¹Nvoor“cipe“1.0.xŽ¡‘#device‘/= cip3b0Ž¡‘#naam–¹Nvoor“cipe“1.2.xŽ¡‘device‘/= cipcb0Ž¡¡‘#–¹Nremote“intern“(nep)“ip“adresŽ¡‘ptpaddr‘*ƒ¾192.168.2.1Ž¡‘#–¹Nmijn“cipe“(nep)“ip“adresŽ¡‘ipaddr‘/= 192.168.1.1Ž¡‘#–¹Nmijn“echte“ip“adres“en“cipe“poortŽ¡‘me‘B"D(echt–¹Nip“1):(poort“A)Ž¡‘#–¹Nremote“echt“ip“adres“en“cipe“poortŽ¡‘peer‘8¯¨(echt–¹Nip“2):(poort“A)Ž¡‘#unieke–¹N128“bit“sleutelŽ¡‘key‘=hö(Key‘¹NA)ŽŸfF‰ffÕÁGŸ'qÂ3.2Ž‘¾/etc/cip_úe/options.mac hineCŽ¦‰ffÕÁGŸ¡‘Ä#uncomment–¹Ner“1“hieronderŽ¡‘#naam–¹Nvoor“cipe“1.0.xŽ¡‘#device‘/= cip3b1Ž¡‘#naam–¹Nvoor“cipe“1.2.xŽ¡‘device‘/= cipcb1Ž¡¡¡‘#–¹Nremote“intern“(nep)“ip“adresŽ¡‘ptpaddr‘*ƒ¾192.168.3.1Ž¡‘#–¹Nmijn“cipe“(nep)“ip“adresŽ¡‘ipaddr‘/= 192.168.1.1Ž¡‘#–¹Nmy“real“ip“adres“and“cipe“portŽ¡‘me‘B"D(real–¹Nip“1):(port“B)Ž¡‘#–¹Nremote“echt“ip“adres“en“cipe“poortŽ¡‘peer‘8¯¨(real–¹Nip“3):(port“B)Ž¡‘#unieke–¹N128“bit“sleutelŽ¡‘key‘=hö(Key‘¹NB)ŽŸfF‰ffÕÁGŸ'qÂ3.3Ž‘¾/etc/rc.d/rc.cip_úeŽ¦‰ffÕÁGŸŽŽŒ‹HÔ Û_2 ý ~?Ÿ„€ÕÁGŽÀ3.‘ñ8Macš®>hine–ÕA“SpQÂeciek˜e“Conguratie’–~¹5ŽŽ ÕÁ ýV¯‘Ä!#/bin/bashŽ¤ Š=‘#rc.cipe‘ rœ3/29/1999Ž¡‘#Zend–¹Nvragen“of“commentaar“naar“acj@home.com.Ž¡¡‘#Setup–¹Nscript“pathŽ¡‘PATH="/bin:/sbin:/usr/bin:/usr/sbin:/usr/local/bin:/usr/local/sbin"Ž¡¡‘#Optie–¹Nfile“namen“in“cipe“directory“voor“cipe“interfacesŽ¡‘options="options.machineB‘¹Noptions.machineC"Ž¡¡‘#Haal–¹Nautomatisch“de“optie“filenamen“uit“de“cipe“directoryŽ¡‘#options=`/bin/ls‘¹N/etc/cipe/options.*`Ž¡¡‘#Uncomment–¹Ner“1“hieronder“voor“de“cipe“module“naamŽ¡‘#cipemod="cip3b"‘%Êp#for–¹Ncipe“1.0Ž¡‘cipemod="cipcb"‘%Êp#for–¹Ncipe“1.2Ž¡¡‘#Check–¹Nvoor“cipe“module“en“laad“als“dat“nog“niet“gedaan“isŽ¡‘grep–¹N$cipemod“/proc/modules“>/dev/nullŽ¡‘if–¹N[“"$?"“=“"1"“];“thenŽ¡‘>Êrecho–¹Ncipe“module“laden.Ž¡‘>Êrmodprobe‘¹N$cipemodŽ¡‘>Êrif–¹N[“"$?"“=“"1"“];“thenŽ¡‘d”âecho–¹NError“bij“het“laden“van“de“cipe“module...exitŽ¡‘d”âexitŽ¡‘>ÊrfiŽ¡‘elseŽ¡‘>Êrecho–¹NCipe“module“is“al“geladen.Ž¡‘fiŽ¡¡‘#Verwijder–¹Nbestaande“cipe“interfacesŽ¡‘cipeif=`cat–¹N/proc/net/dev“|“cut“-f1“-d:“|“grep“$cipemod`Ž¡¡‘if–¹N[“"$cipeif"“!=“""“];“thenŽ¡‘>Êrecho–¹NBestaande“cipe“interface(s)“aan“het“verwijderen.Ž¡‘>Êrfor–¹Ni“in“$cipeif;“doŽ¡‘d”âifconfig–¹N$i“downŽ¡‘>ÊrdoneŽ¡‘fiŽ¡¡‘#Setup–¹Ncipe“interfacesŽ¡‘echo–¹N-n“"De“cipe“interface(s)“aan“het“instellen:“"Ž¡‘for–¹Nconfig“in“$options;“doŽ¡‘>Êrecho–¹N-n“$config"“"Ž¡‘>Êrciped–¹N-o“$configŽ¡‘doneŽ¡‘echoŽ¡‘echoŽ¡¡‘#Routes–¹Ntoevoegen“voor“andere“remote“netwerken“via“cipe“interface(s)Ž¡‘#route–¹Nadd“-net“x.x.x.x“netmask“x.x.x.x“gw“x.x.x.xŽ¡žff‰ffÕÁGŽŽŒ‹Q² Û_2 ý ~?Ÿ„€ÕÁGŽÀ4.‘ñ8Macš®>hine–ÕB“spQÂeciek˜e“Conguratie’ô6¹6ŽŽ ÕÁ ýV¯Â3.4Ž‘¾Gatew• a“yŽŸMª¹Alle–ïmacš¸èhines“op“net˜w˜ork“192.168.1.0“mošGeten“192.168.1.1“hebb˜en“als“gatew•¸èa“y‘ÿ*¸.‘^Als–ïdat“niet“zo“is“zal“het“nietŽŸ ®w•¸èerk“en.ŽŸ(uE¿4Ž‘ÁMacšchine–G\B“sppœeciek˜e“ConguratieŽŸèÂ4.1Ž‘¾/etc/cip_úe/options.mac hineAŽ© Û$‰ffÕÁGŸ¨|¤ Š=‘Ä#uncomment–¹Ner“1“hieronderŽ¡‘#naam–¹Nvoor“cipe“1.0.xŽ¡‘#device‘/= cip3b0Ž¡‘#naam–¹Nvoor“cipe“1.2.xŽ¡‘device‘/= cipcb0Ž¡¡‘#–¹Nremote“intern“(nep)“ip“adresŽ¡‘ptpaddr‘*ƒ¾192.168.1.1Ž¡‘#–¹Nmijn“cipe“(nep)“ip“adresŽ¡‘ipaddr‘/= 192.168.2.1Ž¡‘#–¹Nmijn“echte“ip“adres“en“cipe“poortŽ¡‘me‘B"D(echt–¹Nip“1):(poort“A)Ž¡‘#–¹Nremote“echt“ip“adres“en“cipe“poortŽ¡‘peer‘8¯¨(echt–¹Nip“2):(poort“A)Ž¡‘#unieke–¹N128“bit“sleutelŽ¡‘key‘=hö(Key‘¹NA)ŽŸfF‰ffÕÁGŸÜÂ4.2Ž‘¾/etc/rc.d/rc.cip_úeŽ¦‰ffÕÁGŸ¨|¡¡‘Ä!#/bin/bashŽ¡‘#rc.cipe‘ rœ3/29/1999Ž¡‘#Zend–¹Nvragen“of“commentaar“naar“acj@home.com.Ž¡¡‘#Setup–¹Nscript“pathŽ¡‘PATH="/bin:/sbin:/usr/bin:/usr/sbin:/usr/local/bin:/usr/local/sbin"Ž¡¡‘#Optie–¹Nfile“namen“in“cipe“directory“voor“cipe“interfacesŽ¡‘options="options.machineA"Ž¡¡‘#Haal–¹Nautomatisch“de“optie“filenamen“uit“de“cipe“directoryŽ¡‘#options=`/bin/ls‘¹N/etc/cipe/options.*`Ž¡¡‘#Uncomment–¹Ner“1“hieronder“voor“de“cipe“module“naamŽ¡‘#cipemod="cip3b"‘%Êp#for–¹Ncipe“1.0Ž¡‘cipemod="cipcb"‘%Êp#for–¹Ncipe“1.2Ž¡¡‘#Check–¹Nvoor“cipe“module“en“laad“als“dat“nog“niet“gedaan“isŽ¡‘grep–¹N$cipemod“/proc/modules“>/dev/nullŽ¡‘if–¹N[“"$?"“=“"1"“];“thenŽ¡‘>Êrecho–¹Ncipe“module“laden.Ž¡¡‘>Êrmodprobe‘¹N$cipemodŽ¡‘>Êrif–¹N[“"$?"“=“"1"“];“thenŽŽŽŒ‹X£ Û_2 ý ~?Ÿ„€ÕÁGŽÀ5.‘ñ8Macš®>hine–ÕC“SpQÂeciek˜e“Conguratie’ú¹7ŽŽ ÕÁ ýV¯‘d”âÄecho–¹NError“bij“het“laden“van“de“cipe“module...exitŽ¤ Š=‘d”âexitŽ¡‘>ÊrfiŽ¡‘elseŽ¡‘>Êrecho–¹NCipe“module“is“al“geladen.Ž¡‘fiŽ¡¡‘#Verwijder–¹Nbestaande“cipe“interfacesŽ¡‘cipeif=`cat–¹N/proc/net/dev“|“cut“-f1“-d:“|“grep“$cipemod`Ž¡¡‘if–¹N[“"$cipeif"“!=“""“];“thenŽ¡‘>Êrecho–¹NBestaande“cipe“interface(s)“aan“het“verwijderen.Ž¡‘>Êrfor–¹Ni“in“$cipeif;“doŽ¡‘d”âifconfig–¹N$i“downŽ¡‘>ÊrdoneŽ¡‘fiŽ¡¡‘#Setup–¹Ncipe“interfacesŽ¡¡‘echo–¹N-n“"De“cipe“interface(s)“aan“het“instellen:“"Ž¡‘for–¹Nconfig“in“$options;“doŽ¡‘>Êrecho–¹N-n“$config"“"Ž¡‘>Êrciped–¹N-o“$configŽ¡‘doneŽ¡‘echoŽ¡‘echoŽ¡¡‘#Routes–¹Ntoevoegen“voor“andere“remote“netwerken“via“cipe“interface(s)Ž¡‘#route–¹Nadd“-net“x.x.x.x“netmask“x.x.x.x“gw“x.x.x.xŽ¡¡‘#route–¹Nnaar“machine“C“networkŽ¡‘#route–¹Nadd“-net“192.168.3.0“netmask“255.255.255.0“gw“192.168.3.1ŽŸfF‰ffÕÁGŸpÂ4.3Ž‘¾Gatew• a“yŽŸMª¹Alle–Ðmacš¸èhines“op“het“net˜w˜erk“192.168.2.0“moGet“192.168.2.1“als“gatew˜a˜y“hebbGen.‘[fAnders“zal“het“niet“w˜erk˜en.ŽŸ(Àœ¿5Ž‘ÁMacšchine–G\C“Sppœeciek˜e“ConguratieŽŸèÂ5.1Ž‘¾/etc/cip_úe/options.mac hineAŽŸ Û$‰ffÕÁGŸ¡‘Ä#uncomment–¹Ner“1“hieronderŽ¡‘#naam–¹Nvoor“cipe“1.0.xŽ¡‘#device‘/= cip3b0Ž¡‘#naam–¹Nvoor“cipe“1.2.xŽ¡‘device‘/= cipcb0Ž¡¡‘#–¹Nremote“intern“(nep)“ip“adresŽ¡‘ptpaddr‘*ƒ¾192.168.1.1Ž¡‘#–¹Nmijn“cipe“(nep)“ip“adresŽ¡‘ipaddr‘/= 192.168.3.1Ž¡‘#–¹Nmijn“echte“ip“adres“en“cipe“poortŽ¡‘me‘B"D(echt–¹Nip“1):(poort“A)ŽŽŽŒ‹_Å Û_2 ý ~?Ÿ„€ÕÁGŽÀ5.‘ñ8Macš®>hine–ÕC“SpQÂeciek˜e“Conguratie’ú¹8ŽŽ ÕÁ ýV¯‘Ä#–¹Nremote“echt“ip“adres“en“cipe“poortŽ¤ Š=‘peer‘8¯¨(echt–¹Nip“2):(poort“A)Ž¡‘#unieke–¹N128“bit“sleutelŽ¡‘key‘=hö(Key‘¹NA)ŽŸfF‰ffÕÁGŸ'qÂ5.2Ž‘¾/etc/rc.d/rc.cip_úeŽŸ Û$‰ffÕÁGŸ¡‘Ä!#/bin/bashŽ¡‘#rc.cipe‘ rœ3/29/1999Ž¡‘#Zend–¹Nvragen“of“commentaar“naar“acj@home.com.Ž¡¡‘#Setup–¹Nscript“pathŽ¡‘PATH="/bin:/sbin:/usr/bin:/usr/sbin:/usr/local/bin:/usr/local/sbin"Ž¡¡‘#Optie–¹Nfile“namen“in“cipe“directory“voor“cipe“interfacesŽ¡‘options="options.machineA"Ž¡¡‘#Haal–¹Nautomatisch“de“optie“filenamen“uit“de“cipe“directoryŽ¡‘#options=`/bin/ls‘¹N/etc/cipe/options.*`Ž¡¡‘#Uncomment–¹Ner“1“hieronder“voor“de“cipe“module“naamŽ¡‘#cipemod="cip3b"‘%Êp#voor–¹Ncipe“1.0Ž¡‘cipemod="cipcb"‘%Êp#voor–¹Ncipe“1.2Ž¡¡‘#Check–¹Nvoor“cipe“module“en“laad“als“dat“nog“niet“gedaan“isŽ¡‘grep–¹N$cipemod“/proc/modules“>/dev/nullŽ¡‘if–¹N[“"$?"“=“"1"“];“thenŽ¡‘>Êrecho–¹Ncipe“module“laden.Ž¡‘>Êrmodprobe‘¹N$cipemodŽ¡‘>Êrif–¹N[“"$?"“=“"1"“];“thenŽ¡‘d”âecho–¹NError“bij“het“laden“van“de“cipe“module...exitŽ¡‘d”âexitŽ¡‘>ÊrfiŽ¡‘elseŽ¡‘>Êrecho–¹NCipe“module“is“al“geladen.Ž¡‘fiŽ¡¡‘#Verwijder–¹Nbestaande“cipe“interfacesŽ¡‘cipeif=`cat–¹N/proc/net/dev“|“cut“-f1“-d:“|“grep“$cipemod`Ž¡¡‘if–¹N[“"$cipeif"“!=“""“];“thenŽ¡‘>Êrecho–¹NBestaande“cipe“interface(s)“aan“het“verwijderen.Ž¡‘>Êrfor–¹Ni“in“$cipeif;“doŽ¡‘d”âifconfig–¹N$i“downŽ¡‘>ÊrdoneŽ¡‘fiŽ¡¡‘#Setup–¹Ncipe“interfacesŽ¡‘echo–¹N-n“"De“cipe“interface(s)“aan“het“instellen:“"Ž¡‘for–¹Nconfig“in“$options;“doŽ¡‘>Êrecho–¹N-n“$config"“"Ž¡‘>Êrciped–¹N-o“$configŽ¡‘doneŽ¡‘echoŽŽŽŒ‹ fl Û_2 ý ~?Ÿ„€ÕÁGŽÀ6.‘ñ8Algemene–ÕMac®>hine“Conguratie’ ¹9ŽŽ ÕÁ ýV¯‘ÄechoŽ¤ Š=¡‘#Routes–¹Ntoevoegen“voor“andere“remote“netwerken“via“cipe“interface(s)Ž¡‘#route–¹Nadd“-net“x.x.x.x“netmask“x.x.x.x“gw“x.x.x.xŽ¡‘#route–¹Nnaar“machine“B“netwerkŽ¡‘#route–¹Nadd“-net“192.168.2.0“netmask“255.255.255.0“gw“192.168.2.1ŽŸfF‰ffÕÁGŸpÂ5.3Ž‘¾Gatew• a“yŽ¤Mª¹Alle–U macš¸èhines“op“het“192.168.3.0“net˜w˜erk“moGet“192.168.3.1“als“gatew˜a˜y“hebbGen.‘q€Anders“w˜erkt“het“niet.ŽŸ(Àœ¿6Ž‘ÁAlgemene–G\Macchine“ConguratieŽŸèÂ6.1Ž‘¾/etc/cip_úe/ip-upŽ¡À6.1.1Ž‘#!\Kernel–Õ2.0,“ipfw®>adm,“cipQÂe“1.0.xŽŸÌü‰ffÕÁGŸ¤ Š=‘Ä#!/bin/bashŽ¡‘#–¹Nip-up“Ž¡‘#3/29/1999Ž¡‘#Een–¹Nvoorbeeld“ip-up“script“voor“de“oudere“1.x“2.x“kernelsŽ¡‘#die–¹Nipfwadm“gebruiken“om“de“firewall“en“routes“op“te“zetten,Ž¡‘#om–¹Nje“lokale“class“c“netwerk“te“verbinden“met“een“andere“class“c“netwerk.Ž¡¡‘#De–¹Nregels“zijn“geconfigureerd“om“spoofing“en“stuffed“routing“tussen“de“netwerkenŽ¡‘#tegen–¹Nte“gaan.“Er“zijn“extra“security“bevorderingen“uit“gecomment“aan“hetŽ¡‘#einde–¹Nvan“het“script.Ž¡‘#Zend–¹Ncommentaar“of“vragen“naar“acj@home.com.Ž¡¡‘#--------------------------------------------------------------------------Ž¡‘#Stel–¹Nenkele“script“variabelen“in.Ž¡‘device=$1‘FÛ’#–¹Nhet“CIPE“interfaceŽ¡‘me=$2‘YÀÊ#–¹Nons“UDP“addressŽ¡‘pid=$3‘U|#–¹Nhet“daemon“proces“IDŽ¡‘ipaddr=$4‘FÛ’#–¹NIP“address“van“ons“CIPE“deviceŽ¡‘vptpaddr=$5‘=hö#–¹NIP“address“van“het“andere“CIPE“deviceŽ¡‘option=$6‘FÛ’#–¹Nargument“gegeven“via“optiesŽ¡¡‘PATH="/bin:/sbin:/usr/bin:/usr/sbin:/usr/local/bin:/usr/local/sbin"Ž¡¡‘#comment/uncomment–¹Nom“kernel“logging“voor“alle“ongewenste“toegangs“pogingenŽ¡‘#aan/uit–¹Nte“zetten.Ž¡‘log="-o"Ž¡¡‘#--------------------------------------------------------------------------Ž¡‘umask‘¹N022Ž¡¡‘#–¹NEen“log“voorbeeldŽ¡‘#echo–¹N"UP‘+ê$*"“>>“/var/adm/cipe.logŽ¡¡‘#–¹NVeel“systeem“willen“de“pid“filesŽ¡‘#echo–¹N$3“>“/var/run/$device.pidŽ¡ŽŽŒ‹ my Û_2 ý ~?Ÿ„€ÕÁGŽÀ6.‘ñ8Algemene–ÕMac®>hine“Conguratie’ \¹10ŽŽ ÕÁ ýV¯‘Ä#--------------------------------------------------------------------------Ž¤ Š=¡‘#voeg–¹Neen“route“voor“het“andere“cipe“netwerk“toe.Ž¡‘network=`expr–¹N$ptpaddr“:“'\([0-9]*\.[0-9]*\.[0-9]*\.\)'`0Ž¡‘route–¹Nadd“-net“$network“netmask“255.255.255.0“dev“$deviceŽ¡¡‘#moet–¹Neen“route“voor“de“host“toevoegen“voor“2.0“kernelsŽ¡‘route–¹Nadd“-host“$ptpaddr“dev“$deviceŽ¡¡‘#--------------------------------------------------------------------------Ž¡‘#cipe–¹Ninterface“inkomende“firewall“regelsŽ¡‘#moet–¹Nin“de“lijst“gestopt“worden“in“omgekeerde“volgordeŽ¡¡‘#Weer–¹Nalle“andere“inkomende“pakketen“naar“het“cipe“interfaceŽ¡‘ipfwadm–¹N-I“-i“deny“-W“$device“-S“0/0“-D“0/0“$logŽ¡¡‘#accepteer–¹Ninkomende“pakketen“van“remotenet“naar“localnet“op“het“cipe“interfaceŽ¡‘ipfwadm–¹N-I“-i“accept“-W“$device“-S“$ptpaddr/24“-D“$ipaddr/24Ž¡¡‘#Accepteer–¹Ninkomende“pakketen“van“localnet“naar“remote“net“op“het“cipe“interfaceŽ¡‘ipfwadm–¹N-I“-i“accept“-W“$device“-S“$ipaddr/24“-D“$ptpaddr/24Ž¡¡‘#Weer–¹Ninkomende“pakketjes,“cipe“interface,“claimend“dat“ze“van“het“lokale“net“komen;“logŽ¡‘ipfwadm–¹N-I“-i“deny“-W“$device“-S“$ipaddr/24“-D“$ipaddr/24“$logŽ¡¡‘#--------------------------------------------------------------------------Ž¡‘#cipe–¹Ninterface“uitgaande“firewall“regelsŽ¡‘#moet–¹Nin“de“lijst“gestopt“worden“in“omgekeerde“volgordeŽ¡¡¡‘#Weer–¹Nalle“uitgaande“andere“pakketjes“van“cipe“interfaceŽ¡‘ipfwadm–¹N-O“-i“deny“-W“$device“-S“0/0“-D“0/0“$logŽ¡¡‘#accepteer–¹Nuitgaande“pakketjes“van“het“remotenet“naar“localnet“op“cipe“interfaceŽ¡‘ipfwadm–¹N-O“-i“accept“-W“$device“-S“$ptpaddr/24“-D“$ipaddr/24Ž¡¡‘#Accepteer–¹Nuitgaande“pakketen“van“localnet“naar“remote“net“op“het“cipe“interfaceŽ¡‘ipfwadm–¹N-O“-i“accept“-W“$device“-S“$ipaddr/24“-D“$ptpaddr/24Ž¡¡‘#Weer–¹Nuitgaande“pakketjes“naar“localnet“van“localnet,“cipe“interface;“logŽ¡‘ipfwadm–¹N-O“-i“deny“-W“$device“-S“$ipaddr/24“-D“$ipaddr/24“$logŽ¡¡‘#--------------------------------------------------------------------------Ž¡‘#De–¹Nforwarding“is“zo“geconfigureerd“zodat“machines“op“je“lokale“netwerk“niet“wordenŽ¡‘#gemaskeert–¹Nnaar“het“remote“netwerk.“Dit“geeft“betere“toegangscontrole“tussenŽ¡‘#de–¹Nnetwerken.“moet“in“de“lijst“gestopt“worden“in“omgekeerde“volgordeŽ¡¡‘#Weer–¹Nalle“andere“forwarding“door“het“cipe“interface;“logŽ¡‘ipfwadm–¹N-F“-i“deny“-W“$device“-S“0/0“-D“0/0“$logŽ¡¡‘#Accepteer–¹Nforwarding“van“remotenet“naar“localnet“op“cipe“interfacesŽ¡‘ipfwadm–¹N-F“-i“accept“-W“$device“-S“$ptpaddr/24“-D“$ipaddr/24Ž¡¡‘#Accepteer–¹Nforwarding“van“localnet“naar“remotenet“op“cipe“interfacesŽ¡‘ipfwadm–¹N-F“-i“accept“-W“$device“-S“$ipaddr/24“-D“$ptpaddr/24ŽŽŽŒ‹ v Û_2 ý ~?Ÿ„€ÕÁGŽÀ6.‘ñ8Algemene–ÕMac®>hine“Conguratie’ \¹11ŽŽ ÕÁ ýV¯¤ Š=‘Ä#--------------------------------------------------------------------------Ž¡‘#Weet–¹Nzeker“dat“forwarding“in“de“kernel“aanstaat.“De“kernel“kan“default“forwardingŽ¡‘#uit–¹Nhebben“staan.Ž¡‘/bin/echo–¹N1“>“/proc/sys/net/ipv4/ip_forwardŽ¡¡‘#--------------------------------------------------------------------------Ž¡‘#Optionele–¹Nsecurity“verbeteringen“-“stel“de“standaard“forwarding“policy“in“opŽ¡‘#DENY–¹Nof“REJECT.“Als“je“forwarding“politiek“DENY“(Niet“toelaten)/REJECT(afwijzen)“is“moet“je“de“volgendeŽ¡‘#regels–¹Ntoevoegen“aan“je“standaard“forward“chain.“Het“is“een“goed“idee“omŽ¡‘#de–¹Ndefault“regel“op“DENY“of“REJECT“te“zetten.Ž¡¡‘#defineer–¹Nmachine“interfacesŽ¡‘#localif="eth0"Ž¡‘#staticif="eth1"‘K”à;cable–¹Nmodem“gebruikerŽ¡‘#staticif="ppp0"‘K”à;dialup‘¹NgebruikerŽ¡¡‘#een–¹Nerg“slordige“monier“om“het“ip“adres“van“de“peer“van“de“optie“file“te“krijgen“-“een“nieuw“argementŽ¡‘#–¹Nip:port“door“gegeven“aan“het“script“zou“erg“handig“zijn.Ž¡‘#beide–¹Nregels“moeten“worden“ge“uncomment.Ž¡‘#peerfile=`grep–¹N$device“/etc/cipe/options.*“|“cut“-f1“-d:`Ž¡‘#peer=`grep–¹Npeer“$peerfile“|“cut“-f1“-d:“|“awk“'{print“$2}'`Ž¡¡‘#moet–¹Npeer“ip“adres“loggen“voor“ip-down“scriptŽ¡‘#echo–¹N$peer“>“/var/run/$device.peeripŽ¡¡‘#Accpteer–¹Nforwarding“van“localnet“naar“remotenet“op“intern“netwerk“interfaceŽ¡‘#ipfwadm–¹N-F“-i“accept“-W“$localif“-S“$ipaddr/24“-D“$ptpaddr/24Ž¡¡‘#Accpteer–¹Nforwarding“van“remotenet“naar“localnet“op“intern“netwerk“interfaceŽ¡‘#ipfwadm–¹N-F“-i“accept“-W“$localif“-S“$ptpaddr/24“-D“$ipaddr/24Ž¡¡‘#Accepteer–¹Nforwarding“op“staticif“van“mij“naar“peerŽ¡‘#myaddr=`echo–¹N$me“|“cut“-f1“-d:`Ž¡‘#ipfwadm–¹N-F“-i“accept“-W“$staticif“-S“$myaddr“-D“$peerŽ¡¡‘#--------------------------------------------------------------------------Ž¡‘#Andere–¹Noptionele“security“verbeteringenŽ¡‘#Blok–¹Nalle“inkomende“aanvragen“van“overal“naar“onze“cipe“udpŽ¡‘#poort–¹Nbehalve“van“onze“peer“udp“poortŽ¡¡‘#Moet–¹Nudp“poort“voor“cipe“interfaces“vaststellenŽ¡‘#haal–¹Nonze“udp“poortŽ¡‘#if–¹N[“"$option"“=“""“];“thenŽ¡‘#‘!"myport=`echo–¹N$me“|“cut“-f2“-d:`Ž¡‘#elseŽ¡‘#‘!"myport=$optionŽ¡‘#fiŽ¡¡‘#haal–¹Nremote“udp“poort“--“peerfile“variabel“moet“hierboven“ingestelt“zijnŽ¡‘#peerport=`grep–¹Npeer“$peerfile“|“cut“-f2“-d:`Ž¡¡‘#moet–¹Npeer“udp“poort“loggen“voor“ip-down“scriptŽ¡‘#echo–¹N$peerport“>“/var/run/$device.peerportŽ¡ŽŽŒ‹ „ Û_2 ý ~?Ÿ„€ÕÁGŽÀ6.‘ñ8Algemene–ÕMac®>hine“Conguratie’ \¹12ŽŽ ÕÁ ýV¯‘Ä#haal–¹Nons“ip“adresŽ¤ Š=‘#myaddr=`echo–¹N$me“|“cut“-f1“-d:`Ž¡¡‘#Verweer–¹Nen“log“alle“aanvragen“op“onze“cipe“udp“poort,“moet“eerst“worden“ingestokenŽ¡‘#ipfwadm–¹N-I“-i“deny“-P“udp“-W“$staticif“-S“0/0“-D“$myaddr“$myport“$logŽ¡¡‘#Accepteer–¹Nudp“pakketen“van“peer“op“udp“cipe“poort“naar“mijn“udp“cipe“poortŽ¡‘#ipfwadm–¹N-I“-i“accept“-P“udp“-W“$staticif“-S“$peer“$peerport“\Ž¡‘#-D–¹N$myaddr“$myportŽ¡¡‘exit‘¹N0Žžff‰ffÕÁGŸ§‰À6.1.2Ž‘#!\Kernel–Õ2.1/2.2,“ipšQÂc®>hains,“cip˜e“1.2.xŽŸ [,‰ffÕÁGŸ¡‘Ä#!/bin/bashŽ¡‘#–¹Nip-up“Ž¡‘#3/29/1999Ž¡‘#Een–¹Nvoorbeeld“ip-up“script“voor“de“nieuwere“2.1/2.2“kernels“die“ipchainsŽ¡‘#gebruiken–¹Nom“routes“en“firewall“regels“in“te“stellen“om“je“lokale“class“c“netwerkŽ¡‘#met–¹Neen“ander“class“c“netwerk“te“verbinden.“Dit“script“creererd“3“gebruiker“gedefineerdeŽ¡‘#chains–¹N-input,“output,“and“forward“-“voor“elke“cipe“interface,“gebaseerd“opŽ¡‘#de–¹Ninterface“naam.“Het“stelt“dan“een“regel“in“in“de“ingebouwde“input,“output,“en“forward“chainsŽ¡‘#om–¹Nde“gebruiker“gedefineerde“chains“te“gebruiken.“De“regels“zijn“geconfigureerd“omŽ¡‘#spoofing–¹Nen“stuffed“routing“tussen“de“netwerken“tegen“te“gaan.“Er“zijn“ook“optioneleŽ¡‘#security–¹Nverbeteringen“uit“gecomment“aan“het“einde“van“het“script.Ž¡‘#Zend–¹Nvragen“of“commentaar“naar“acj@home.com.Ž¡¡‘#--------------------------------------------------------------------------Ž¡‘#Stel–¹Nenkele“script“variabelen“in.Ž¡‘device=$1‘FÛ’#–¹Nhet“CIPE“interfaceŽ¡‘me=$2‘YÀÊ#–¹Nons“UDP“addressŽ¡‘pid=$3‘U|#–¹Nhet“daemon“proces“IDŽ¡‘ipaddr=$4‘FÛ’#–¹NIP“address“van“ons“CIPE“deviceŽ¡‘vptpaddr=$5‘=hö#–¹NIP“address“van“het“andere“CIPE“deviceŽ¡‘option=$6‘FÛ’#–¹Nargument“gegeven“via“optiesŽ¡¡¡‘PATH="/bin:/sbin:/usr/bin:/usr/sbin:/usr/local/bin:/usr/local/sbin"Ž¡¡‘#comment/uncomment–¹Nom“kernel“loggen“van“niet“gewilde“toegangs“pogingenŽ¡‘#uit/aan–¹Nte“zetten.“Moet“het“zelfde“zijn“als“ip-down“script“om“de“regels“teŽ¡‘#verwijderen.Ž¡‘log="-l"Ž¡¡‘#--------------------------------------------------------------------------Ž¡‘umask‘¹N022Ž¡¡‘#–¹NEen“log“voorbeeldŽ¡‘#echo–¹N"UP‘+ê$*"“>>“/var/adm/cipe.logŽ¡¡‘#–¹NVeel“systeem“willen“de“pid“filesŽ¡‘#echo–¹N$3“>“/var/run/$device.pidŽ¡¡‘#--------------------------------------------------------------------------Ž¡‘#voeg–¹Neen“route“toe“voor“het“remote“cipe“netwerkŽŽŽŒ‹ ‹ë Û_2 ý ~?Ÿ„€ÕÁGŽÀ6.‘ñ8Algemene–ÕMac®>hine“Conguratie’ \¹13ŽŽ ÕÁ ýV¯¤ Š=‘Änetwork=`expr–¹N$ptpaddr“:“'\([0-9]*\.[0-9]*\.[0-9]*\.\)'`0Ž¡‘route–¹Nadd“-net“$network“netmask“255.255.255.0“dev“$deviceŽ¡¡‘#--------------------------------------------------------------------------Ž¡‘#Creeer–¹Neen“nieuwe“ipchain“voor“cipe“interface“input“regelsŽ¡‘ipchains–¹N-N“$device"i"Ž¡¡‘#flush–¹Nalle“regels“in“die“chain“(sanity“flush)Ž¡‘ipchains–¹N-F“$device"i"Ž¡¡‘#Weer–¹Ninkomende“pakketen,“cipe“interface,“claimend“dat“ze“van“localnet“komen;“logŽ¡‘ipchains–¹N-A“$device"i"“-j“DENY“-i“$device“-s“$ipaddr/24“-d“$ipaddr/24“$logŽ¡¡‘#Accepteer–¹Ninkomende“pakketjes“van“localnet“naar“remotenet“op“cipe“interfaceŽ¡‘ipchains–¹N-A“$device"i"“-j“ACCEPT“-i“$device“-s“$ipaddr/24“-d“$ptpaddr/24Ž¡¡‘#Accepteer–¹Ninkomende“pakketjes“van“remotenet“naar“localnet“op“cipe“interfaceŽ¡‘ipchains–¹N-A“$device"i"“-j“ACCEPT“-i“$device“-s“$ptpaddr/24“-d“$ipaddr/24Ž¡¡‘#Weer–¹Nalle“andere“inkomende“pakketjesŽ¡‘ipchains–¹N-A“$device"i"“-j“DENY“-s“0/0“-d“0/0“$logŽ¡¡‘#--------------------------------------------------------------------------Ž¡‘#Creeer–¹Neen“nieuwe“ipchain“voor“cipe“interface“output“regelsŽ¡‘ipchains–¹N-N“$device"o"Ž¡¡‘#flush–¹Nalle“regels“in“die“chain“(sanity“flush)Ž¡‘ipchains–¹N-F“$device"o"Ž¡¡‘#Weer–¹Nuitgaande“pakketen“van“localnet“naar“localnet,“cipe“interface;“logŽ¡‘ipchains–¹N-A“$device"o"“-j“DENY“-i“$device“-s“$ipaddr/24“-d“$ipaddr/24“$logŽ¡¡‘#Accepteer–¹Nuitgaande“pakketten“van“localnet“naar“remotenet“op“cipe“interfaceŽ¡‘ipchains–¹N-A“$device"o"“-j“ACCEPT“-i“$device“-s“$ipaddr/24“-d“$ptpaddr/24Ž¡¡‘#Accepteer–¹Nuitgaande“pakketjes“van“remotenet“naar“localnet“op“cipe“interfaceŽ¡‘ipchains–¹N-A“$device"o"“-j“ACCEPT“-i“$device“-s“$ptpaddr/24“-d“$ipaddr/24Ž¡¡‘#Weer–¹Nalle“andere“uitgaande“pakketjesŽ¡‘ipchains–¹N-A“$device"o"“-j“DENY“-s“0/0“-d“0/0“$logŽ¡¡‘#--------------------------------------------------------------------------Ž¡‘#De–¹Nforwarding“is“zo“geconfigureerd“zodat“machines“op“je“lokale“netwerk“niet“wordenŽ¡‘#gemaskeert–¹Nnaar“het“remote“netwerk.“Dit“geeft“betere“toegangscontrole“tussenŽ¡‘#de‘¹Nnetwerken.Ž¡¡‘#Creeer–¹Neen“nieuwe“ipchain“voor“cipe“interface“forward“regelsŽ¡‘ipchains–¹N-N“$device"f"Ž¡¡‘#flush–¹Nalle“regels“in“die“chain“(sanity“flush)Ž¡‘ipchains–¹N-F“$device"f"Ž¡¡‘#Accepteer–¹Nforwarding“van“localnet“naar“remotenet“op“cipe“interfaceŽ¡‘ipchains–¹N-A“$device"f"“-j“ACCEPT“-i“$device“-s“$ipaddr/24“-d“$ptpaddr/24ŽŽŽŒ‹–c Û_2 ý ~?Ÿ„€ÕÁGŽÀ6.‘ñ8Algemene–ÕMac®>hine“Conguratie’ \¹14ŽŽ ÕÁ ýV¯¤ Š=‘Ä#Accepteer–¹Nforwarding“van“remotenet“naar“localnet“op“cipe“interfaceŽ¡‘ipchains–¹N-A“$device"f"“-j“ACCEPT“-i“$device“-s“$ptpaddr/24“-d“$ipaddr/24Ž¡¡‘#Wijger–¹Nalle“andere“fowarding;“logŽ¡‘ipchains–¹N-A“$device"f"“-j“DENY“-s“0/0“-d“0/0“$logŽ¡¡‘#--------------------------------------------------------------------------Ž¡‘#Weet–¹Nzeker“dat“forwarding“in“de“kernel“aan“staat.“Nieuwe“kernels“hebben“standaardŽ¡‘#forwarding–¹Nuit“staan.Ž¡‘/bin/echo–¹N1“>“/proc/sys/net/ipv4/ip_forwardŽ¡¡‘#--------------------------------------------------------------------------Ž¡‘#Voeg–¹Nde“regels“toe“aan“de“hoofd“input,“outpud“en“forward“chains“om“de“nieuwe“regelsŽ¡‘#te–¹Nactiveren“voor“het“cipe“interfaceŽ¡‘ipchains–¹N-I“input“-i“$device“-j“$device"i"Ž¡‘ipchains–¹N-I“output“-i“$device“-j“$device"o"Ž¡‘ipchains–¹N-I“forward“-i“$device“-j“$device"f"Ž¡¡‘#--------------------------------------------------------------------------Ž¡‘#Optionele–¹Nsecurity“verbeteringen“-“stel“de“standaard“forwarding“policy“in“opŽ¡‘#DENY–¹Nof“REJECT.“Als“je“forwarding“politiek“DENY“(Niet“toelaten)/REJECT(afwijzen)“is“moetŽ¡‘#je–¹Nde“volgende“regels“toevoegen“aan“je“standaard“forward“chain.“Het“is“een“goed“idee“omŽ¡‘#de–¹Ndefault“regel“op“DENY“of“REJECT“te“zetten.Ž¡¡‘#defineer–¹Nmachine“interfacesŽ¡‘#localif="eth0"Ž¡‘#staticif="eth1"‘K”à;cable–¹Nmodem“gebruikerŽ¡‘#staticif="ppp0"‘K”à;dialup‘¹NgebruikerŽ¡¡‘#een–¹Nerg“slordige“monier“om“het“ip“adres“van“de“peer“van“de“optie“file“te“krijgen“-“eenŽ¡‘#nieuw‘¹NargementŽ¡‘#–¹Nip:port“door“gegeven“aan“het“script“zou“erg“handig“zijn.Ž¡‘#beide–¹Nregels“moeten“worden“ge“uncomment.Ž¡‘#peerfile=`grep–¹N$device“/etc/cipe/options.*“|“cut“-f1“-d:`Ž¡‘#peer=`grep–¹Npeer“$peerfile“|“cut“-f1“-d:“|“awk“'{print“$2}'`Ž¡¡‘#moet–¹Npeer“ip“adres“loggen“voor“ip-down“scriptŽ¡‘#echo–¹N$peer“>“/var/run/$device.peeripŽ¡¡‘#Accpteer–¹Nforwarding“van“localnet“naar“remotenet“op“intern“netwerk“interfaceŽ¡‘#ipchains–¹N-I“forward“-j“ACCEPT“-i“$localif“-s“$ipaddr/24“-d“$ptpaddr/24Ž¡¡‘#Accpteer–¹Nforwarding“van“remotenet“naar“localnet“op“intern“netwerk“interfaceŽ¡‘#ipchains–¹N-I“forward“-j“ACCEPT“-i“$localif“-s“$ptpaddr/24“-d“$ipaddr/24Ž¡¡‘#Accepteer–¹Nforwarding“op“staticif“van“mij“naar“peerŽ¡‘#myaddr=`echo–¹N$me“|“cut“-f1“-d:`Ž¡‘#ipchains–¹N-I“forward“-j“ACCEPT“-i“$staticif“-s“$myaddr“-d“$peerŽ¡¡‘#--------------------------------------------------------------------------Ž¡‘#Andere–¹Noptionele“security“verbeteringenŽ¡‘#Blok–¹Nalle“inkomende“aanvragen“van“overal“naar“onze“cipe“udpŽ¡‘#poort–¹Nbehalve“van“onze“peer“udp“poortŽ¡ŽŽŒ‹ ë Û_2 ý ~?Ÿ„€ÕÁGŽÀ6.‘ñ8Algemene–ÕMac®>hine“Conguratie’ \¹15ŽŽ ÕÁ ýV¯‘Ä#Moet–¹Nudp“poort“voor“cipe“interfaces“vaststellenŽ¤ Š=‘#haal–¹Nonze“udp“poortŽ¡¡‘#if–¹N[“"$option"“=“""“];“thenŽ¡‘#‘!"myport=`echo–¹N$me“|“cut“-f2“-d:`Ž¡‘#elseŽ¡‘#‘!"myport=$optionŽ¡‘#fiŽ¡¡‘#haal–¹Nremote“udp“poort“--“peerfile“variabel“moet“hierboven“ingestelt“zijnŽ¡‘#peerport=`grep–¹Npeer“$peerfile“|“cut“-f2“-d:`Ž¡¡‘moet–¹Npeer“udp“poort“loggen“voor“ip-down“scriptŽ¡‘#echo–¹N$peerport“>“/var/run/$device.peerportŽ¡¡‘#haal–¹Nons“ip“adresŽ¡‘#myaddr=`echo–¹N$me“|“cut“-f1“-d:`Ž¡¡‘#Weer–¹Nen“log“alle“aanvragen“op“onze“cipe“udp“poort,“moet“eerst“worden“ingestokenŽ¡‘#ipchains–¹N-I“input“-j“DENY“-p“udp“-i“$staticif“-s“0/0“\Ž¡‘#-d–¹N$myaddr“$myport“$logŽ¡¡‘#Accepteer–¹Nudp“pakketen“van“peer“op“udp“cipe“poort“naar“mijn“udp“cipe“poortŽ¡‘#ipchains–¹N-I“input“-j“ACCEPT“-p“udp“-i“$staticif“-s“$peer“$peerport“\Ž¡‘#–¹N-d“$myaddr“$myportŽ¡¡‘#--------------------------------------------------------------------------Ž¡‘#–¹NStel“spoofing“protectie“in“kernel“in“als“optionele“security“maatregelŽ¡‘#--------------------------------------------------------------------------Ž¡‘#Waarom–¹Nheb“ik“hier“spoofprotectie“voor“elk“device“in“de“kernel?Ž¡‘#Denk–¹Ndat“ik“paranoide“ben.Ž¡¡‘if–¹N[“-e“/proc/sys/net/ipv4/conf/all/rp_filter“];“thenŽ¡‘>Êrecho–¹N-n“"Ip“spoof“bescherming“instellen..."Ž¡‘>Êriface="/proc/sys/net/ipv4/conf/$device/rp_filter"Ž¡‘>Êrecho–¹N1“>“$ifaceŽ¡‘>Êrecho‘¹N"gedaan."Ž¡‘elseŽ¡‘>Êrecho–¹N"Kan“spoof“protectie“in“de“kernel“niet“instellen“voor“$device"“\Ž¡‘d”â|–¹Nmail“-s"Security“Waarschuwing:“$device"“rootŽ¡‘>Êrexit‘¹N1Ž¡‘fiŽ¡¡‘exit‘¹N0Žžff‰ffÕÁGŸ'qÂ6.2Ž‘¾/etc/cip_úe/ip-do wnŽŸMªÀ6.2.1Ž‘#!\Kernel–Õ2.0,“ipfw®>adm,“cipQÂe“1.0.xŽŸÌü‰ffÕÁGŸ¡‘Ä#!/bin/bashŽ¡¡‘#–¹Nip-down“Ž¡‘#3/29/1999Ž¡‘#Een–¹Nvoorbeeld“ip-down“script“voor“de“oudere“1.x“2.x“kernels“die“ipfwadm“gebruikenŽ¡‘#verwijderd–¹Nde“regels“die“ingesteld“zijn“om“je“klasse“c“netwerk“met“het“andere“klasse“c“netwerkŽŽŽŒ‹¬+ Û_2 ý ~?Ÿ„€ÕÁGŽÀ6.‘ñ8Algemene–ÕMac®>hine“Conguratie’ \¹16ŽŽ ÕÁ ýV¯‘Ä#te‘¹Nverbinden.Ž¤ Š=¡‘#--------------------------------------------------------------------------Ž¡‘#Stel–¹Nenkele“script“variabelen“in.Ž¡‘device=$1‘FÛ’#–¹Nhet“CIPE“interfaceŽ¡‘me=$2‘YÀÊ#–¹Nons“UDP“addressŽ¡‘pid=$3‘U|#–¹Nhet“daemon“proces“IDŽ¡‘ipaddr=$4‘FÛ’#–¹NIP“address“van“ons“CIPE“deviceŽ¡‘vptpaddr=$5‘=hö#–¹NIP“address“van“het“andere“CIPE“deviceŽ¡‘option=$6‘FÛ’#–¹Nargument“gegeven“via“optiesŽ¡¡‘PATH="/bin:/sbin:/usr/bin:/usr/sbin:/usr/local/bin:/usr/local/sbin"Ž¡¡‘#comment/uncomment–¹Nom“kernel“logging“voor“alle“ongewenste“toegangs“pogingenŽ¡‘#aan/uit–¹Nte“zetten.“moet“het“zelfde“zijn“als“in“het“ip-down“script“om“de“regelsŽ¡‘#te‘¹Nverwijderen.Ž¡‘log="-o"Ž¡¡‘#--------------------------------------------------------------------------Ž¡‘umask‘¹N022Ž¡¡‘#–¹NEen“log“voorbeeldŽ¡‘#echo–¹N"UP‘+ê$*"“>>“/var/adm/cipe.logŽ¡¡‘#–¹NVerwijder“de“pid“fileŽ¡‘#–¹Nrm“-f“/var/run/$device.pidŽ¡¡‘#--------------------------------------------------------------------------Ž¡‘#cipe–¹Ninterface“inkomende“firewall“regelsŽ¡¡‘#verwijder–¹N(Weer“alle“andere“inkomende“pakketen“naar“het“cipe“interface)Ž¡‘ipfwadm–¹N-I“-d“deny“-W“$device“-S“0/0“-D“0/0“$logŽ¡¡‘#verwijder–¹N(accepteer“inkomende“pakketen“van“remotenet“naar“localnet“op“het“cipe“interface)Ž¡‘ipfwadm–¹N-I“-d“accept“-W“$device“-S“$ptpaddr/24“-D“$ipaddr/24Ž¡¡‘#verwijder–¹N(accepteer“inkomende“pakketen“van“localnet“naar“remote“net“op“het“cipe“interface)Ž¡‘ipfwadm–¹N-I“-d“accept“-W“$device“-S“$ipaddr/24“-D“$ptpaddr/24Ž¡¡‘#verwijder–¹N(Weer“inkomende“pakketjes,“cipe“interface,“claimend“dat“ze“van“het“lokale“net“komen;“log)Ž¡‘ipfwadm–¹N-I“-d“deny“-W“$device“-S“$ipaddr/24“-D“$ipaddr/24“$logŽ¡¡‘#--------------------------------------------------------------------------Ž¡‘#cipe–¹Ninterface“uitgaande“firewall“regelsŽ¡¡‘#verwijder–¹N(Weer“alle“uitgaande“andere“pakketjes“van“cipe“interface)Ž¡‘ipfwadm–¹N-O“-d“deny“-W“$device“-S“0/0“-D“0/0“$logŽ¡¡‘#verwijder–¹N(accepteer“uitgaande“pakketjes“van“het“remotenet“naar“localnet“op“cipe“interface)Ž¡‘ipfwadm–¹N-O“-d“accept“-W“$device“-S“$ptpaddr/24“-D“$ipaddr/24Ž¡¡‘#verwijder–¹N(accepteer“uitgaande“pakketen“van“localnet“naar“remote“net“op“het“cipe“interface)Ž¡‘ipfwadm–¹N-O“-d“accept“-W“$device“-S“$ipaddr/24“-D“$ptpaddr/24Ž¡¡‘#verwijder–¹N(verweer“uitgaande“pakketjes“naar“localnet“van“localnet,“cipe“interface;“log)ŽŽŽŒ‹µ  Û_2 ý ~?Ÿ„€ÕÁGŽÀ6.‘ñ8Algemene–ÕMac®>hine“Conguratie’ \¹17ŽŽ ÕÁ ýV¯‘Äipfwadm–¹N-O“-d“deny“-W“$device“-S“$ipaddr/24“-D“$ipaddr/24“$logŽ¤ Š=¡‘#--------------------------------------------------------------------------Ž¡‘#cipe–¹Ninterface“forwarding“firewall“regelsŽ¡¡‘#verwijder–¹N(Weer“alle“andere“forwarding“door“het“cipe“interface;“log)Ž¡‘ipfwadm–¹N-F“-i“deny“-W“$device“-S“0/0“-D“0/0“$logŽ¡¡‘#verwijder–¹N(accepteer“forwarding“van“remotenet“naar“localnet“op“cipe“interfaces)Ž¡‘ipfwadm–¹N-F“-i“accept“-W“$device“-S“$ptpaddr/24“-D“$ipaddr/24Ž¡¡‘#verwijder–¹N(accepteer“forwarding“van“localnet“naar“remotenet“op“cipe“interfaces)Ž¡‘ipfwadm–¹N-F“-i“accept“-W“$device“-S“$ipaddr/24“-D“$ptpaddr/24Ž¡¡‘#--------------------------------------------------------------------------Ž¡‘#Optionele–¹Nsecurity“verbeteringen“-“stel“de“standaard“forwarding“policy“in“opŽ¡‘#DENY–¹Nof“REJECT.“Als“je“forwarding“politiek“DENY“(Niet“toelaten)/REJECT(afwijzen)“is“moet“je“de“volgendeŽ¡‘#regels–¹Ntoevoegen“aan“je“standaard“forward“chain.“Het“is“een“goed“idee“omŽ¡‘#de–¹Ndefault“regel“op“DENY“of“REJECT“te“zetten.Ž¡¡‘#defineer–¹Nmachine“interfacesŽ¡‘#localif="eth0"Ž¡‘#staticif="eth1"‘K”à;cable–¹Nmodem“gebruikerŽ¡‘#staticif="ppp0"‘K”à;dialup‘¹NgebruikerŽ¡¡‘#een–¹Nerg“slordige“monier“om“het“ip“adres“van“de“peer“van“de“optie“file“te“krijgen“-“een“nieuw“argementŽ¡‘#–¹Nip:port“door“gegeven“aan“het“script“zou“erg“handig“zijn.Ž¡‘#beide–¹Nregels“moeten“worden“ge“uncomment.Ž¡‘#peerfile=`grep–¹N$device“/etc/cipe/options.*“|“cut“-f1“-d:`Ž¡‘#peer=`grep–¹Npeer“$peerfile“|“cut“-f1“-d:“|“awk“'{print“$2}'`Ž¡¡‘#moet–¹Npeer“ip“adres“loggen“voor“ip-down“scriptŽ¡‘#echo–¹N$peer“>“/var/run/$device.peeripŽ¡¡‘#verwijder–¹N(accpteer“forwarding“van“localnet“naar“remotenet“op“intern“netwerk“interface)Ž¡‘#ipfwadm–¹N-F“-d“accept“-W“$localif“-S“$ipaddr/24“-D“$ptpaddr/24Ž¡¡‘#verwijder–¹N(accpteer“forwarding“van“remotenet“naar“localnet“op“intern“netwerk“interface)Ž¡‘#ipfwadm–¹N-F“-d“accept“-W“$localif“-S“$ptpaddr/24“-D“$ipaddr/24Ž¡¡‘#verwijder–¹N(accepteer“forwarding“op“staticif“van“mij“naar“peer)Ž¡‘#myaddr=`echo–¹N$me“|“cut“-f1“-d:`Ž¡‘#ipfwadm–¹N-F“-d“accept“-W“$staticif“-S“$myaddr“-D“$peerŽ¡¡‘#--------------------------------------------------------------------------Ž¡‘#Andere–¹Noptionele“security“verbeteringenŽ¡‘#Blok–¹Nalle“inkomende“aanvragen“van“overal“naar“onze“cipe“udpŽ¡‘#poort–¹Nbehalve“van“onze“peer“udp“poortŽ¡¡‘#Moet–¹Nudp“poort“voor“cipe“interfaces“vaststellenŽ¡‘#haal–¹Nonze“udp“poortŽ¡‘#if–¹N[“"$option"“=“""“];“thenŽ¡‘#‘!"myport=`echo–¹N$me“|“cut“-f2“-d:`Ž¡‘#elseŽ¡‘#‘!"myport=$optionŽŽŽŒ‹¿^ Û_2 ý ~?Ÿ„€ÕÁGŽÀ6.‘ñ8Algemene–ÕMac®>hine“Conguratie’ \¹18ŽŽ ÕÁ ýV¯‘Ä#fiŽ¤ Š=¡‘#haal–¹Nremote“udp“poort“--“peerfile“variabel“moet“hierboven“ingestelt“zijnŽ¡‘#peerport=`grep–¹Npeer“$peerfile“|“cut“-f2“-d:`Ž¡¡‘#moet–¹Npeer“udp“poort“loggen“voor“ip-down“scriptŽ¡‘#echo–¹N$peerport“>“/var/run/$device.peerportŽ¡¡‘#haal–¹Nons“ip“adresŽ¡‘#myaddr=`echo–¹N$me“|“cut“-f1“-d:`Ž¡¡‘#verwijder–¹N(Weer“en“log“alle“aanvragen“op“onze“cipe“udp“poort,“moet“eerst“worden“ingestoken)Ž¡‘#ipfwadm–¹N-I“-d“deny“-P“udp“-W“$staticif“-S“0/0“-D“$myaddr“$myport“$logŽ¡¡‘#verwijder–¹N(accepteer“udp“pakketen“van“peer“op“udp“cipe“poort“naar“mijn“udp“cipe“poort)Ž¡‘#ipfwadm–¹N-I“-d“accept“-P“udp“-W“$staticif“-S“$peer“$peerport“\Ž¡‘#-D–¹N$myaddr“$myportŽ¡¡‘exit‘¹N0Žžff‰ffÕÁGŸ§‰À6.2.2Ž‘&ötKernel–Õ2.1/2.2,“ipšQÂc®>hains,“cip˜e“1.2.xŽŸ [,‰ffÕÁGŸ¡‘Ä#!/bin/shŽ¡‘#–¹Nip-down“Ž¡‘#3/29/1999Ž¡‘#Een–¹Nvoorbeeld“ip-down“script“voor“de“nieuwere“2.1/2.2“kernels“dieŽ¡‘#ipchains–¹Ngebruiken“om“de“firewall“regels“te“verwijderen“die“je“hebtŽ¡‘#aangemaakt–¹Nbij“het“verbinden“van“je“klasse“c“netwerk“met“het“andereŽ¡‘#klasse–¹Nc“netwerk.“Optionele“security“verwijdering“is“ook“uit“gecomment“aanŽ¡‘#einde–¹Nvan“het“script.Ž¡‘#Zend–¹Nvragen“of“commentaar“naar“acj@home.com.Ž¡¡‘#--------------------------------------------------------------------------Ž¡‘#Stel–¹Nenkele“script“variabelen“in.Ž¡‘device=$1‘FÛ’#–¹Nhet“CIPE“interfaceŽ¡‘me=$2‘YÀÊ#–¹Nons“UDP“addressŽ¡‘pid=$3‘U|#–¹Nhet“daemon“proces“IDŽ¡‘ipaddr=$4‘FÛ’#–¹NIP“address“van“ons“CIPE“deviceŽ¡‘vptpaddr=$5‘=hö#–¹NIP“address“van“het“andere“CIPE“deviceŽ¡‘option=$6‘FÛ’#–¹Nargument“gegeven“via“optiesŽ¡¡¡‘PATH="/bin:/sbin:/usr/bin:/usr/sbin:/usr/local/bin:/usr/local/sbin"Ž¡¡‘#comment/uncomment–¹Nom“kernel“loggen“van“niet“gewilde“toegangs“pogingenŽ¡‘#uit/aan–¹Nte“zetten.“Moet“hetzelfde“zijn“als“ip-down“script“om“de“regels“teŽ¡‘#verwijderen.Ž¡‘log="-l"Ž¡¡‘#--------------------------------------------------------------------------Ž¡‘umask‘¹N022Ž¡¡‘#–¹NEen“log“voorbeeldŽ¡‘#echo–¹N"UP‘+ê$*"“>>“/var/adm/cipe.logŽ¡ŽŽŒ‹Ê Û_2 ý ~?Ÿ„€ÕÁGŽÀ6.‘ñ8Algemene–ÕMac®>hine“Conguratie’ \¹19ŽŽ ÕÁ ýV¯‘Ä#–¹NVerwijder“de“pid“fileŽ¤ Š=‘#–¹Nrm“-f“/var/run/$device.pidŽ¡¡‘#--------------------------------------------------------------------------Ž¡‘#verwijder–¹Nregels“van“main“input,“output“en“foward“chains“voor“cipe“interfaceŽ¡‘ipchains–¹N-D“input“-i“$device“-j“$device"i"Ž¡‘ipchains–¹N-D“output“-i“$device“-j“$device"o"Ž¡‘ipchains–¹N-D“forward“-i“$device“-j“$device"f"Ž¡¡‘#--------------------------------------------------------------------------Ž¡‘#flush–¹Nalle“regels“in“cipe“interface“input“chainŽ¡‘ipchains–¹N-F“$device"i"Ž¡‘#verwijder–¹Ncipe“interface“input“chainŽ¡‘ipchains–¹N-X“$device"i"Ž¡¡‘#--------------------------------------------------------------------------Ž¡‘#flush–¹Nalle“regels“in“cipe“interface“output“chainŽ¡‘ipchains–¹N-F“$device"o"Ž¡‘#verwijder–¹Ncipe“interface“output“chainŽ¡‘ipchains–¹N-X“$device"o"Ž¡¡‘#--------------------------------------------------------------------------Ž¡‘#flush–¹Nalle“regels“in“cipe“interface“forward“chainŽ¡‘ipchains–¹N-F“$device"f"Ž¡‘#verwijder–¹Ncipe“interface“forward“chainŽ¡‘ipchains–¹N-X“$device"f"Ž¡¡‘#--------------------------------------------------------------------------Ž¡‘#Verwijder–¹Noptionele“security“verbeteringenŽ¡¡‘#haal–¹Npeer“adresŽ¡‘#peer=`cat‘¹N/var/run/$device.peerip`Ž¡¡‘#defineer–¹Nmachine“interfacesŽ¡‘#localif="eth0"Ž¡‘#staticif="eth1"‘K”à;cable–¹Nmodem“gebruikerŽ¡‘#staticif="ppp0"‘K”à;dialup‘¹NgebruikerŽ¡¡‘#haal–¹Nons“ip“adresŽ¡‘#myaddr=`echo–¹N$me“|cut“-f1“-d:`Ž¡¡‘#verwijder–¹N(accepteer“forwarding“van“localnet“naar“remotenet“op“intern“netwerkŽ¡‘#interface)Ž¡‘#ipchains–¹N-D“forward“-j“ACCEPT“-i“$localif“-s“$ipaddr/24“-d“$ptpaddr/24Ž¡¡‘#verwijder–¹N(accepteer“forwarding“van“remotenet“naar“localnet“op“intern“netwerkŽ¡‘#interface)Ž¡‘#ipchains–¹N-D“forward“-j“ACCEPT“-i“$localif“-s“$ptpaddr/24“-d“$ipaddr/24Ž¡¡‘#verwijder–¹N(accepteer“forwarding“van“staticif“van“mij“naar“peer)Ž¡‘#ipchains–¹N-D“forward“-j“ACCEPT“-i“$staticif“-s“$myaddr“-d“$peerŽ¡¡‘#verwijder–¹Npeer“ip“fileŽ¡‘#rm‘¹N/var/run/$device.peeripŽ¡ŽŽŒ‹Ó° Û_2 ý ~?Ÿ„€ÕÁGŽÀ7.‘ñ8V‘ÿ ºo•QÂorb“eeld–Õmasquerading“rew®>all“scripts’ðy6¹20ŽŽ ÕÁ ýV¯‘Ä#--------------------------------------------------------------------------Ž¤ Š=‘#Verwijder–¹Nandere“optionele“security“verbeterings“regelsŽ¡¡‘#haal–¹Npeer“udp“portŽ¡‘#peerport=`cat‘¹N/var/run/$device.peerport`Ž¡¡‘#haal–¹Nonze“udp“portŽ¡‘#if–¹N[“"$option"“=“""“];“thenŽ¡‘#‘%Êpmyport=`echo–¹N$me“|“cut“-f2“-d:`Ž¡‘#elseŽ¡‘#‘%Êpmyport=$optionŽ¡‘#fiŽ¡¡‘#verwijder–¹N(Weer“en“log“alle“aanvragen“naar“de“cipe“udp“poort“moet“eerst“ingestoken“worden)Ž¡‘#ipchains–¹N-D“input“-j“DENY“-p“udp“-i“$staticif“-s“0/0“\Ž¡‘#-d–¹N$myaddr“$myport“$logŽ¡¡‘#verwijder–¹N(accepteer“udp“packets“van“peer“op“udp“cipe“poort“naar“mijn“udp“cipe“poort)Ž¡‘#ipchains–¹N-D“input“-j“ACCEPT“-p“udp“-i“$staticif“-s“$peer“$peerport“\Ž¡‘#-d–¹N$myaddr“$myportŽ¡¡‘#verwijder–¹Npeer“poort“fileŽ¡‘#rm‘¹N/var/run/$device.peerportŽ¡¡‘#--------------------------------------------------------------------------Ž¡¡‘exit‘¹N0Žžff‰ffÕÁGŸ+ƒ¿7Ž‘ÁV‘þ®(o•pœorb“eeld–G\masquerading“rewcall“scriptsŽŸèÂ7.1Ž‘¾Kernel–¸2.0,“ipfw admŽŸ 0„‰ffÕÁGŸ¡‘Ä#!/bin/shŽ¡‘#04/04/1999Ž¡‘#voorbeeld–¹Nrc.firewall“script“voor“de“2.0“kernels“die“ipfwadm“gebruikenŽ¡‘#Ik–¹Nkan“geen“vol“vetrouwen“geven“voor“dit“script.“Ik“heb“het“een“paarŽ¡‘#jaar–¹Ngeleden“gevonden“en“heb“wat“aanpassingen“gemaakt.Ž¡‘#Zend–¹Nvragen“of“commentaar“naar“acj@home.com.Ž¡¡‘#---------------------------------------------------------------------Ž¡‘#VariabelenŽ¡‘#---------------------------------------------------------------------Ž¡¡‘#lokaal–¹Nethernet“interfaceŽ¡‘localip=Ž¡‘localif=eth0Ž¡¡‘#statisch–¹Nethernet“interfaceŽ¡‘staticip=Ž¡‘staticif=eth1Ž¡¡‘PATH="/bin:/sbin:/usr/bin:/usr/sbin:/usr/local/bin:/usr/local/sbin"Ž¡¡‘#---------------------------------------------------------------------ŽŽŽŒ‹ÜÑ Û_2 ý ~?Ÿ„€ÕÁGŽÀ7.‘ñ8V‘ÿ ºo•QÂorb“eeld–Õmasquerading“rew®>all“scripts’ðy6¹21ŽŽ ÕÁ ýV¯‘Ä#Inkomende–¹NFirewall“politiekŽ¤ Š=‘#---------------------------------------------------------------------Ž¡‘#flush–¹Ninkomende“firewall“politiekŽ¡‘/sbin/ipfwadm–¹N-I“-fŽ¡¡‘#stel–¹Ninkomende“firewall“politiek“standaard“op“deny“(niet“toelaten)Ž¡‘/sbin/ipfwadm–¹N-I“-p“denyŽ¡¡‘#---------------------------------------------------------------------Ž¡¡‘#lokaal–¹Ninterface,“lokale“machines,“overal“naar“toegaand“is“toegestaanŽ¡‘/sbin/ipfwadm–¹N-I“-a“accept“-V“$localip“-S“$localip/24“-D“0.0.0.0/0Ž¡¡‘#remote–¹Ninterface,“claimend“dat“het“van“het“lokale“netwerk“komt“(IP“spoofing)“verweren“en“loggenŽ¡‘/sbin/ipfwadm–¹N-I“-a“deny“-V“$staticip“-S“$localip/24“-D“0.0.0.0/0“-oŽ¡¡‘#remote–¹Ninterface,“elke“,die“gaan“staticipen“is“goedŽ¡‘/sbin/ipfwadm–¹N-I“-a“accept“-V“$staticip“-S“0.0.0.0/0“-D“$staticip/32Ž¡¡‘#loopback–¹Ninterface“is“goedŽ¡‘/sbin/ipfwadm–¹N-I“-a“accept“-V“127.0.0.1“-S“0.0.0.0/0“-D“0.0.0.0/0Ž¡¡‘#alle–¹Nandere“inkomende“dingen“worden“gestopt“en“gelogdŽ¡‘/sbin/ipfwadm–¹N-I“-a“deny“-S“0.0.0.0/0“-D“0.0.0.0/0“-oŽ¡¡‘#---------------------------------------------------------------------Ž¡‘#Outgaande–¹NFirewall“politiekŽ¡‘#---------------------------------------------------------------------Ž¡¡‘#flush–¹Nuitgaande“firewall“politiekŽ¡‘/sbin/ipfwadm–¹N-O“-fŽ¡¡‘#stel–¹Nuitgaande“firewall“policy“in“op“'niet“toegestaan'Ž¡‘/sbin/ipfwadm–¹N-O“-p“denyŽ¡¡‘#---------------------------------------------------------------------Ž¡¡‘#lokaal–¹Ninterface,“elke“bron“gaand“naar“local“net“is“goedŽ¡‘/sbin/ipfwadm–¹N-O“-a“accept“-V“$localip“-S“0.0.0.0/0“-D“$localip/24Ž¡¡‘#uitgaand–¹Nnaar“localnet“op“static“interface,“stuffed“routing,“niet“toegestaanŽ¡‘/sbin/ipfwadm–¹N-O“-a“deny“-V“$staticip“-S“0.0.0.0/0“-D“$localip/24“-oŽ¡¡‘#uitgaand–¹Nvan“lokaalnetwerk“op“static“interface,“stuffed“masquerading,“niet“toegestaanŽ¡‘/sbin/ipfwadm–¹N-O“-a“deny“-V“$staticip“-S“$localip/24“-D“0.0.0.0/0“-oŽ¡¡‘#uitgaand–¹Nnaar“lokaal“netwerk“op“static“interface,“stuffed“masquerading,“niet“toegestaanŽ¡‘/sbin/ipfwadm–¹N-O“-a“deny“-V“$staticip“-S“0.0.0.0/0“-D“$localip/24“-oŽ¡¡‘#elke–¹Nandere“uitgaande“op“remote“interface“is“toegestaanŽ¡‘/sbin/ipfwadm–¹N-O“-a“accept“-V“$staticip“-S“$staticip/32“-D“0.0.0.0/0Ž¡¡‘#loopback–¹Ninterface“is“goedŽ¡‘/sbin/ipfwadm–¹N-O“-a“accept“-V“127.0.0.1“-S“0.0.0.0/0“-D“0.0.0.0/0Ž¡ŽŽŒ‹äØ Û_2 ý ~?Ÿ„€ÕÁGŽÀ7.‘ñ8V‘ÿ ºo•QÂorb“eeld–Õmasquerading“rew®>all“scripts’ðy6¹22ŽŽ ÕÁ ýV¯‘Ä#alle–¹Nandere“uitgaande“pakketten“zijn“niet“toegestaan“en“worden“gelogdŽ¤ Š=‘/sbin/ipfwadm–¹N-O“-a“deny“-S“0.0.0.0/0“-D“0.0.0.0/0“-oŽ¡¡‘#--------------------------------------------------------------------------Ž¡‘#Forwarding–¹Nfirewall“politiekŽ¡‘#--------------------------------------------------------------------------Ž¡¡‘#flush–¹Nforwarding“politiekŽ¡‘/sbin/ipfwadm–¹N-F“-fŽ¡¡‘#stel–¹Nforwarding“politiek“standaard“in“op“'niet“toegestaan'Ž¡‘/sbin/ipfwadm–¹N-F“-p“denyŽ¡¡‘#masquerade–¹Nvan“localnet“op“local“interface“naar“overalŽ¡‘/sbin/ipfwadm–¹N-F“-a“masquerade“-W“$staticif“-S“$localip/24“-D“0.0.0.0/0Ž¡¡‘#alle–¹Nandere“forwarding“is“niet“toegestaanŽ¡‘/sbin/ipfwadm–¹N-F“-a“deny“-S“0.0.0.0/0“-D“0.0.0.0/0Ž¡¡‘exit‘¹N0Žžff‰ffÕÁGŸ! Â7.2Ž‘¾Kernel–¸2.1/2.2,“ip_úc hainsŽŸ Û$‰ffÕÁGŸø“¡‘Ä#!/bin/shŽ¡‘#04/04/1999Ž¡‘#voorbeeld–¹Nrc.firewall“script“voor“de“nieuwere“2.1/2.2“kernels“die“ipchainsŽ¡‘#gebruiken–¹Nwelke“gebruik“gedefineerde“chains“maakt“voor“elk“interface.Ž¡‘#Er–¹Nzijn“firewall“regels“voor“spoofing“protectie“welke“onnodig“zijn“sindsŽ¡‘#de–¹Nnieuwere“kernels“spoofing“protectie“aan“kunnen“hebben“staan.“Je“kuntŽ¡‘#denken–¹Ndat“dit“dan“een“beetje“overbodig“is.Ž¡‘#Zend–¹Nvragen“of“commentaar“naar“acj@home.com.Ž¡¡‘#---------------------------------------------------------------------Ž¡‘#VariabelenŽ¡‘#---------------------------------------------------------------------Ž¡¡‘#lokaal–¹Nethernet“interfaceŽ¡‘localip=Ž¡‘localif=eth0Ž¡¡‘#statisch–¹Nethernet“interfaceŽ¡‘staticip=Ž¡‘staticif=eth1Ž¡¡‘#loopback‘¹NinterfaceŽ¡‘loopback=loŽ¡¡‘PATH="/bin:/sbin:/usr/bin:/usr/sbin:/usr/local/bin:/usr/local/sbin"Ž¡¡‘#---------------------------------------------------------------------Ž¡‘#Flush–¹Ningebouwde“input,“output,“and“forward“ipchains;“stel“de“standaard“politiekŽ¡‘#in.–¹NGoed“politiek“is“om“alle“pakketjes“te“wijgeren,“vooral“bij“het“instellenŽ¡‘#van‘¹NchainsŽ¡‘#---------------------------------------------------------------------Ž¡ŽŽŒ‹ï Û_2 ý ~?Ÿ„€ÕÁGŽÀ7.‘ñ8V‘ÿ ºo•QÂorb“eeld–Õmasquerading“rew®>all“scripts’ðy6¹23ŽŽ ÕÁ ýV¯‘Ä#stel–¹Ninkomende“firewall“politiek“default“op“'niet“toegestaan'Ž¤ Š=‘ipchains–¹N-P“input“DENYŽ¡¡‘#flush–¹Ninkomende“firewall“politiekŽ¡‘ipchains–¹N-F“inputŽ¡¡‘#---------------------------------------------------------------------Ž¡¡‘#stel–¹Nuitgaande“firewall“politiek“default“op“'niet“toegestaan'Ž¡‘ipchains–¹N-P“output“DENYŽ¡¡‘#flush–¹Nuitgaande“firewall“politiekŽ¡‘ipchains–¹N-F“outputŽ¡¡‘#---------------------------------------------------------------------Ž¡¡‘#stel–¹Nforwarding“firewall“politiek“default“op“'niet“toegestaan'Ž¡‘ipchains–¹N-P“forward“DENYŽ¡¡‘#flush–¹Nforwarding“firewall“politiekŽ¡‘ipchains–¹N-F“forwardŽ¡¡‘#---------------------------------------------------------------------Ž¡‘#flush–¹Nalle“politieken‘ rœ-overbodig“voor“algemene“politiek,“maar“flusht“ookŽ¡‘#gebruik–¹Ngedifineerde“politiekenŽ¡‘#ipchains‘¹N-FŽ¡¡‘#Verwijder–¹Nalle“gebruiker“gedefineerde“politieken“-“je“kan“er“voor“kiezen“omŽ¡‘#dit–¹Nniet“te“doenŽ¡‘#ipchains‘¹N-XŽ¡¡‘#---------------------------------------------------------------------Ž¡‘#Inkomende–¹NFirewall“PolitiekŽ¡‘#---------------------------------------------------------------------Ž¡¡‘#maak–¹Neen“nieuwe“input“chain“voor“static“ethernet“interfaceŽ¡‘ipchains–¹N-N“$staticif"-i"Ž¡¡‘#flush–¹Nall“regels“in“chain“(sanity“flush)Ž¡‘ipchains–¹N-F“$staticif"-i"Ž¡¡‘#blok–¹Ninkomende“SYN“pakketjes“op“alle“poorten“op“staticif“en“logŽ¡‘#dit–¹Nkan“een“beetje“grof“zijn,“maar“het“kan“handig“zijn“in“de“toekomstŽ¡‘#ipchains–¹N-A“$staticif"-i"“-j“DENY“-p“tcp“-y“-i“$staticif“-s“0/0“\Ž¡‘#-d–¹N$staticip“:“-lŽ¡¡‘#remote–¹Ninterface,“claimend“te“komen“van“lokale“machine“(IP“spoofing)“niet“toestaan“en“loggenŽ¡‘ipchains–¹N-A“$staticif"-i"“-j“DENY“-i“$staticif“-s“$localip/16“-d“0/0“-lŽ¡¡‘#remote–¹Ninterface,“elke“bron,“naar“staticip“adres“is“goedŽ¡‘ipchains–¹N-A“$staticif"-i"“-j“ACCEPT“-i“$staticif“-s“0/0“-d“$staticip/32Ž¡¡‘#alle–¹Ninkomende“pakketjes“worden“afgewezen“en“gelogdŽ¡‘ipchains–¹N-A“$staticif"-i"“-j“DENY“-s“0/0“-d“0/0“-lŽ¡ŽŽŒ‹ø Û_2 ý ~?Ÿ„€ÕÁGŽÀ7.‘ñ8V‘ÿ ºo•QÂorb“eeld–Õmasquerading“rew®>all“scripts’ðy6¹24ŽŽ ÕÁ ýV¯‘Ä#---------------------------------------------------------------------Ž¤ Š=¡‘#maak–¹Neen“nieuwe“input“chain“voor“lokaal“ethernet“interfaceŽ¡‘ipchains–¹N-N“$localif"-i"Ž¡¡‘#flush–¹Nalle“regels“in“chain“(sanity“flush)Ž¡‘ipchains–¹N-F“$localif"-i"Ž¡¡‘#lokaal–¹Ninterface,“lokale“machines,“gaand“naar“overal“is“goedŽ¡‘ipchains–¹N-A“$localif"-i"“-j“ACCEPT“-i“$localif“-s“$localip/24“-d“0/0Ž¡¡‘#alle–¹Nandere“inkomende“pakketjes“worden“afgewezen“en“gelogdŽ¡‘ipchains–¹N-A“$localif"-i"“-j“DENY“-s“0/0“-d“0/0“-lŽ¡¡‘#---------------------------------------------------------------------Ž¡¡‘#maak–¹Neen“nieuwe“input“chain“voor“loopback“interfaceŽ¡‘ipchains–¹N-N“$loopback"-i"Ž¡¡‘#flush–¹Nalle“regels“in“chain“(sanity“flush)Ž¡‘ipchains–¹N-F“$loopback"-i"Ž¡¡‘#loopback–¹Ninterface“is“goedŽ¡‘ipchains–¹N-A“$loopback"-i"“-j“ACCEPT“-i“$loopback“-s“0/0“-d“0/0Ž¡¡‘#alle–¹Nandere“inkomende“pakketjes“worden“afgewezen“en“gelogdŽ¡‘ipchains–¹N-A“$loopback"-i"“-j“DENY“-s“0/0“-d“0/0“-lŽ¡¡‘#--------------------------------------------------------------------------Ž¡‘#Forwarding–¹Nfirewall“politiekŽ¡‘#--------------------------------------------------------------------------Ž¡¡‘#maak–¹Neen“nieuwe“forward“chain“voor“static“ethernet“interfaceŽ¡‘ipchains–¹N-N“$staticif"-f"Ž¡¡‘#flush–¹Nalle“rules“in“chain“(sanity“flush)Ž¡‘ipchains–¹N-F“$staticif"-f"Ž¡¡‘#masquerade–¹Nvan“localnet“op“static“interface“naar“overalŽ¡‘ipchains–¹N-A“$staticif"-f"“-j“MASQ“-i“$staticif“-s“$localip/24“-d“0/0Ž¡¡‘#alle–¹Nander“forwarding“is“verboden“en“wordt“gelogdŽ¡‘ipchains–¹N-A“$staticif"-f"“-j“DENY“-s“0/0“-d“0/0“-lŽ¡¡‘#---------------------------------------------------------------------Ž¡¡‘#maak–¹Neen“nieuwe“forward“chain“voor“local“ethernet“interfaceŽ¡‘ipchains–¹N-N“$localif"-f"Ž¡¡‘#flush–¹Nalle“regels“in“chain“(sanity“flush)Ž¡‘ipchains–¹N-F“$localif"-f"Ž¡¡‘#alle–¹Nander“forwarding“is“verboden“en“wordt“gelogdŽ¡‘ipchains–¹N-A“$localif"-f"“-j“DENY“-s“0/0“-d“0/0“-lŽ¡ŽŽŒ‹( Û_2 ý ~?Ÿ„€ÕÁGŽÀ7.‘ñ8V‘ÿ ºo•QÂorb“eeld–Õmasquerading“rew®>all“scripts’ðy6¹25ŽŽ ÕÁ ýV¯‘Ä#---------------------------------------------------------------------Ž¤ Š=¡‘#maak–¹Neen“nieuwe“forward“chain“voor“loopback“interfaceŽ¡‘ipchains–¹N-N“$loopback"-f"Ž¡¡‘#flush–¹Nalle“regels“in“chain“(sanity“flush)Ž¡‘ipchains–¹N-F“$loopback"-f"Ž¡¡‘#alle–¹Nander“forwarding“is“verboden“en“wordt“gelogdŽ¡‘ipchains–¹N-A“$loopback"-f"“-j“DENY“-s“0/0“-d“0/0“-lŽ¡¡¡‘#---------------------------------------------------------------------Ž¡‘#Uitgaande–¹NFirewall“PolitiekŽ¡‘#---------------------------------------------------------------------Ž¡¡‘#maak–¹Neen“nieuwe“output“chain“voor“static“ethernet“interfaceŽ¡‘ipchains–¹N-N“$staticif"-o"Ž¡¡‘#flush–¹Nalle“regels“in“chain“(sanity“flush)Ž¡‘ipchains–¹N-F“$staticif"-o"Ž¡¡‘#uitgaand–¹Nnaar“localnet“op“remote“interface(stuffed“routing)“niet“toegestaan“&“logŽ¡‘ipchains–¹N-A“$staticif"-o"“-j“DENY“-i“$staticif“-s“0/0“-d“$localip/24“-lŽ¡¡‘#outgaand–¹Nvan“local“net“op“remote“interface,“stuffed“masquerading,“'niet“toestaan'Ž¡‘ipchains–¹N-A“$staticif"-o"“-j“DENY“-i“$staticif“-s“$localip/24“-d“0/0“-lŽ¡¡‘#alle–¹Nandere“dingen“op“remote“interface“zijn“goedŽ¡‘ipchains–¹N-A“$staticif"-o"“-j“ACCEPT“-i“$staticif“-s“$staticip/32“-d“0/0Ž¡¡‘#alle–¹Nandere“uitgaande“pakketjes“zijn“verboden“en“worden“gelogdŽ¡‘ipchains–¹N-A“$staticif"-o"“-j“DENY“-s“0/0“-d“0/0“-lŽ¡¡‘#---------------------------------------------------------------------Ž¡¡‘#maak–¹Neen“nieuwe“output“chain“voor“local“ethernet“interfaceŽ¡‘ipchains–¹N-N“$localif"-o"Ž¡¡‘#flush–¹Nalle“regels“in“chain“(sanity“flush)Ž¡‘ipchains–¹N-F“$localif"-o"Ž¡¡‘#lokaal–¹Ninterface,“elke“bron“gaand“naar“local“net“is“toegestaanŽ¡‘ipchains–¹N-A“$localif"-o"“-j“ACCEPT“-i“$localif“-s“0/0“-d“$localip/24Ž¡¡‘#alle–¹Nandere“uitgaande“pakketjes“zijn“verboden“en“worden“gelogdŽ¡‘ipchains–¹N-A“$localif"-o"“-j“DENY“-s“0/0“-d“0/0“-lŽ¡¡‘#---------------------------------------------------------------------Ž¡¡‘#maak–¹Neen“nieuwe“output“chain“voor“loopback“interfaceŽ¡‘ipchains–¹N-N“$loopback"-o"Ž¡¡‘#flush–¹Nalle“regels“in“chain“(sanity“flush)Ž¡‘ipchains–¹N-F“$loopback"-o"ŽŽŽŒ‹  Û_2 ý ~?Ÿ„€ÕÁGŽÀ7.‘ñ8V‘ÿ ºo•QÂorb“eeld–Õmasquerading“rew®>all“scripts’ðy6¹26ŽŽ ÕÁ ýV¯¤ Š=‘Ä#loopback–¹Ninterface“is“toegestaanŽ¡‘ipchains–¹N-A“$loopback"-o"“-j“ACCEPT“-i“$loopback“-s“0/0“-d“0/0Ž¡¡‘#alle–¹Nandere“uitgaande“pakketjes“zijn“verboden“en“worden“gelogdŽ¡‘ipchains–¹N-A“$loopback"-o"“-j“DENY“-s“0/0“-d“0/0“-lŽ¡¡‘#--------------------------------------------------------------------------Ž¡‘#weet–¹Nzeker“dat“forwarding“in“de“kernel“aan“staatŽ¡‘#--------------------------------------------------------------------------Ž¡¡‘/bin/echo–¹N1“>“/proc/sys/net/ipv4/ip_forwardŽ¡¡‘#--------------------------------------------------------------------------Ž¡‘#Voeg–¹Npointers“toe“aan“ingebouwde“chains“om“de“gebruiker“gedifineerde“chainsŽ¡‘#te–¹Nactiveren“verander“de“volgorde“om“te“optimaliseren“voor“een“interfaceŽ¡‘#--------------------------------------------------------------------------Ž¡¡‘#voeg–¹Nlocal“interface“input“chain“toeŽ¡‘ipchains–¹N-A“input“-i“$localif“-j“$localif"-i"Ž¡¡‘#voeg–¹Nstatic“interface“input“chain“toeŽ¡‘ipchains–¹N-A“input“-i“$staticif“-j“$staticif"-i"Ž¡¡‘#voeg–¹Nloopback“interface“input“chain“toeŽ¡‘ipchains–¹N-A“input“-i“$loopback“-j“$loopback"-i"Ž¡¡‘#-------------------------------------------------------------------------Ž¡¡‘#voeg–¹Nlocal“interface“output“chain“toeŽ¡‘ipchains–¹N-A“output“-i“$localif“-j“$localif"-o"Ž¡¡‘#voeg–¹Nstatic“interface“output“chain“toeŽ¡‘ipchains–¹N-A“output“-i“$staticif“-j“$staticif"-o"Ž¡¡‘#voeg–¹Nloopback“interface“output“chain“toeŽ¡‘ipchains–¹N-A“output“-i“$loopback“-j“$loopback"-o"Ž¡¡‘#-------------------------------------------------------------------------Ž¡¡‘#voeg–¹Nlocal“interface“forward“chain“toeŽ¡‘ipchains–¹N-A“forward“-i“$localif“-j“$localif"-f"Ž¡¡‘#voeg–¹Nstatic“interface“forward“chain“toeŽ¡‘ipchains–¹N-A“forward“-i“$staticif“-j“$staticif"-f"Ž¡¡‘#voeg–¹Nloopback“interface“forward“chain“toeŽ¡‘ipchains–¹N-A“forward“-i“$loopback“-j“$loopback"-f"Ž¡¡‘#---------------------------------------------------------------------Ž¡‘#Super–¹NParanoide“check“---“ook“als“staat“de“default“politiek“op“niet“toestaanŽ¡‘#blok–¹Nalle“pakketjes“op“elk“interfaceŽ¡‘#---------------------------------------------------------------------Ž¡¡‘#alle–¹Nandere“inkomende“pakketjes“zijn“niet“toegestaan“en“worden“gelogdŽŽŽŒ‹H Û_2 ý ~?Ÿ„€ÕÁGŽÀ8.‘ XAlles–Õsamen“v®>oQÂegen’R\V¹27ŽŽ ÕÁ ýV¯‘Äipchains–¹N-A“input“-j“DENY“-s“0/0“-d“0/0“-lŽ¤ Š=¡‘#alle–¹Nandere“uitgaande“pakketjes“zijn“niet“toegestaan“en“worden“gelogdŽ¡‘ipchains–¹N-A“output“-j“DENY“-s“0/0“-d“0/0“-lŽ¡¡‘#alle–¹Nandere“forwarding“is“niet“toegestaan“en“worden“gelogdŽ¡‘ipchains–¹N-A“forward“-j“DENY“-s“0/0“-d“0/0“-lŽ¡¡‘exit‘¹N0Žžff‰ffÕÁGŸ+ƒ¿8Ž‘xAlles–G\samen“vcopœegenŽŸ¿:¹Dit–øis“een“v¸èo•Gorb“eeld›ørc.lo“cal˜script˜om˜alle˜te˜starten˜als˜je˜systeem˜opstart.‘RHet˜v¸èo“egt˜sp“o“ong˜b“esc¸èhermingŽŸ ®in–U de“toGe“als“je“een“2.2“kš¸èernel“hebt,“stel“masquerading“rew˜all“pšGolitiek“in“en“start“de“cip˜e“in¸èterface(s).ŽŸæ‰ffÕÁGŸ¡‘Ä#!/bin/bashŽ¡‘#4/4/99Ž¡‘#een–¹Nvoorbeeld“rc.local“scriptŽ¡‘#Zend–¹Nvragen“of“commentaar“naar“acj@home.comŽ¡¡‘echoŽ¡¡‘#Stel–¹Nspoof“protectie“in“de“kernel“is“--“uit“IPChains“HOWTO“door“Paul“RussellŽ¡¡‘#dit–¹Nzijn“alleen“de“nieuwere“2.1/2.2“kernelsŽ¡¡‘#if–¹N[“-e“/proc/sys/net/ipv4/conf/all/rp_filter“];“thenŽ¡‘#‘+êecho–¹N-n“"Setting“up“IP“spoofing“protection..."Ž¡‘#‘+êfor–¹Nf“in“/proc/sys/net/ipv4/conf/*/rp_filter;“doŽ¡‘#‘!"echo–¹N1“>“$fŽ¡‘#‘+êdoneŽ¡‘#‘+êecho‘¹N"done."Ž¡‘#elseŽ¡‘#‘+êecho–¹NPROBLEMS“SETTING“UP“IP“SPOOFING“PROTECTION.‘ rœBE“WORRIED.Ž¡‘#‘+êecho–¹N"CONTROL-D“will“exit“from“this“shell“and“continue“system“startup."Ž¡‘#‘+êechoŽ¡‘#‘+ê#–¹NStart“a“single“user“shell“on“the“consoleŽ¡‘#‘+ê/sbin/sulogin‘¹N$CONSOLEŽ¡‘#fiŽ¡¡‘echoŽ¡¡‘#Setup–¹Nfirewall“policiesŽ¡‘if–¹N[“-x“/etc/rc.d/rc.firewall“];“thenŽ¡‘>Êrecho–¹NSetting“up“firewall“packet“filtering“policies.Ž¡‘>ÊrechoŽ¡‘>Êr.‘¹N/etc/rc.d/rc.firewallŽ¡‘fiŽ¡¡‘#Start–¹Ncipe“interfacesŽ¡‘if–¹N[“-x“/etc/rc.d/rc.cipe“];“thenŽ¡‘>Êrecho–¹NStarting“VPN“interfaces.Ž¡‘>Êr.‘¹N/etc/rc.d/rc.cipeŽ¡‘fiŽŽŽŒ‹$ Û_2 ý ~?Ÿ„€ÕÁGŽÀ9.‘ñ8V‘ÿ ºerbinding–Õmak®>en“met“de“W‘þ¸øAN’DL¹28ŽŽ ÕÁ ýV¯¤ Š=‘Äexit‘¹N0Žžff‰ffÕÁGŸ+ƒ¿9Ž‘ÁV‘þ®(erbinding–G\makcen“met“de“W‘þ=‹ANŽŸ¿:¹Nu–{ûmošGet“je“cip˜e“in¸èterface“draaiende“zijn.‘æProb˜eer“te“pingen“naar“macš¸èhines“op“het“andere“net˜w˜erk(en).‘æAlsŽŸ ®je–U niet“k‘ÿqÐan“pingen“c•¸èhec“k–U dan“het“vš¸èolgende“op“de“rew˜all“mac˜hine:ŽŸؼ‘ó !",š cmsy10¸ŽŽŽ‘¹Checš¸èk–U of“forw˜arding“in“de“k˜ernel“aan“staat.ŽŸ®‘¸ŽŽŽ‘¹DošGe–U een“ifcong“om“te“kijk¸èen“of“je“cip˜e“in¸èterface“up“is.Ž©Š=‘/Äcipcb0› rœLink–¹Nencap:IPIP“Tunnel˜HWaddrŽ¡‘TÊrinet‘¹Naddr:192.168.1.1– rœP-t-P:192.168.2.1“Mask:255.255.255.255Ž¡‘TÊrUP–¹NPOINTOPOINT“NOTRAILERS“RUNNING“NOARP– rœMTU:1442“Metric:1Ž¡‘TÊrRX–¹Npackets:28163“errors:6“dropped:0“overruns:0“frame:6Ž¡‘TÊrTX–¹Npackets:29325“errors:0“dropped:0“overruns:0“carrier:0Ž¡‘TÊrcollisions:0‘¹Ntxqueuelen:100Ž¤®‘¸ŽŽŽ‘¹Checš¸èk–U de“route“tabGel“v˜oGor“een“host“in˜v˜oGer“v˜ošGor“de“andere“cip˜e“host“op“het“cip˜e“in¸èterface.Ž¦‘/Ä192.168.2.1–å8*‘WÔ255.255.255.255›¹NUH“0‘+ê0‘%Êp0˜cipcb0Ž¡‘¸ŽŽŽ‘¹Checš¸èk–U de“route“tabGel“v˜oGor“een“net˜w˜erk“in˜v˜oGer“v˜oGor“het“andere“net˜w˜erk(en)“op“het“cipGe“in˜terface.Ž¦‘/Ä192.168.2.0‘å8*‘WÔ255.255.255.0–+êU‘ž†0“0‘%Êp0‘ rœcipcb0Ž¡‘¸ŽŽŽ‘¹Checš¸èk–U de“log“les“v˜ošGor“error“b˜eric•¸èh“ten.ŽŸؼAls–í«je“andere“macš¸èhines“ac˜h˜ter“je“rew˜all“geen“tošGegang“hebb˜en“tot“macš¸èhines“ac˜h˜ter“de“andere“rew˜all“kijkŽ¤ ®dan–U of“je“gatew•¸èa“y–U gošGed“is“ingesteld“op“b˜eide“mac¸èhines.Ž©ؼZo–ò§snel“je“kunš¸èt“pingen,– ftp-en,“telnetten,“enz.‘Jnaar–ò§de“andere“mac˜hines“op“het“andere“net˜w˜erk,‘ dan“is“deŽ¡vš¸èolgende– stap“om“de“net˜w˜erk˜en“elk›ÿqÐaar“te“laten“zien“om“toGegang“te“krijgen“tot“elk˜aars“SAMBA‘ ðbro¸èwsen.‘YvEenŽ¡aan•¸ètal›Ròhin“ts:‘pilmhosts˜of˜wins˜serv“ers˜zijn˜noGdig,‘Sbv“ertrou“wde˜domeinen˜v“oGor˜NT.˜Ik˜heb˜deze˜ingesteld˜maarŽ¡dat–U is“niet“het“došGel“v‘ÿqÐan“dit“do˜cumenš¸èt“(tot“n˜u“toGe).Ž¦Als–Éje“het“vš¸èo•Gorb“eeld–Érew˜all“masquerading“script,‘æ dan“zouden“al“je“mac˜hines“ošGok“in“staat“mo˜eten“zijn“omŽ¡vš¸èerbinding–¥te“mak˜en“met“het“in˜ternet.‘6úAls“je“dat“niet“kun˜t“moGet“je“de“log“les“na“kijk˜en.‘6úJe“k‘ÿqÐan“ošGok“tcp˜dumpŽ¡gebruikš¸èen–U om“te“zien“w˜at“er“met“de“pakk˜etjes“gebGeurt.ŽŸ(Àœ¿10Ž‘¬%ReferenctiesŽŸèÂ10.1Ž‘%}¨W‘þàeb‘¸SitesŽŸMª¼Cip‘ÿ}/e–“°Home“Page‘U óqLË ectt1000ÅŽ¦¼Masq–“°Home“Page‘U ÅŽ¦¼Samb‘ÿ}/a–“°Home“Page‘U ÅŽ¦¼Linux‘“°HQ–U Å“¹goGede“site“met“vš¸èeel“lin˜ux“infoŽŽŽŒ‹$ô Û_2 ý ~?Ÿ„€ÕÁGŽÀ10.‘ñ8Referen®>ties’{èQ¹29ŽŽ ÕÁ ýV¯Â10.2Ž‘%}¨Do_úcumen tatieŽŸMª¹cipšGe.info:‘q€info–U le“zit“bij“cip˜e“distributieŽ¤ؼFirew•¸èall›U HO“WTO,˜doGor˜Mark˜Grennan,˜markg@netplus.netŽ¡IP–U Masquerade“mini-HOš¸èWTO,“doGor“Am˜brose“Au,“am˜brose@writeme.comŽ¡IPChains-Hoš¸èwto,–U doGor“P˜aul“Russell,“P˜aul.Russell@rustcorp.com.auŽŽŽŒø0ƒ’À;èÛ_2ÕÁGóqLË ectt1000óqLË ectt0900ó¥!¢N ecbx1200ó]fŒ ecbx1000ó&Lt$ffffecbx1440óŒ6 ecss1000ó½HЃ ecti1000óþÖëI½q½qecss2074ó 1ê± ecrm1000ó !",š cmsy10ù1Íßßßßßß